libcue-Lücke reißt Sicherheitsleck in Gnome

Eine Sicherheitslücke, die in der Bibliothek libcue enthalten ist, führt zu einer Schwachstelle in Gnome, durch die Angreifer Opfern mit nur einem Klick Schadcode unterschieben können. Aktualisierungen für Gnome stehen bereit, die das Problem beseitigen. IT-Verantwortliche sollten sie zügig anwenden.

Wie Kevin Backhouse vom Github Security Lab in einer Analyse schreibt, handelt es sich um potenzielle Speicherverletzungen in der libcue-Bibliothek. CUE dürfte eher älteren Menschen etwas sagen. Es handelt sich um Metadaten zu CD-Abbildern, etwa mit Start- und Endzeiten der einzelnen Tracks. Diese kommen Backhouse zufolge im Kontext mit dem FLAC Audio-Codec noch zum Einsatz.

Gnome-Sicherheitslücke: Unscheinbare Bibliothek mit großer Wirkung

Daher verarbeiten zahlreiche Audio-Player wie Audacious derartige Dateien auch heute noch. Zudem bringt Gnome die Anwendung tracker-miners mit. Die indiziert die Dateien im User-Homeverzeichnis, um sie leicht durchsuchbar zu machen. Sofern Dateien in bestimmte Unterverzeichnisse des Home-Directories wie ~/Downloads abgelegt oder darin verändert werden, aktualisiert tracker-miners den Index.

Ein Angreifer muss daher ein potenzielles Opfer lediglich überzeugen, einen Link anzuklicken, der zum Herunterladen des Schadcodes führt. Der gelangt durch die automatische Indexierung schließlich zur Ausführung.

Fehlerhafte Verarbeitung in libcue

libcue enthielt einen Fehler bei der Verarbeitung des "INDEX"-Elements in den Cue-Sheets. Der Fehler lässt sich etwa auslösen, wenn anstatt "INDEX 01 00:00:00" (Format also Index, Tracknummer, Startzeit) etwa "INDEX 4294567296 0" im Cue-Sheet auftaucht. Das erzeugt durch die genutzten Funktionen einen Integer-Überlauf, da der Wert 2^32 durch die Funktion atoi in -400000 gewandelt wird. Eine weitere Funktion (track_set_index) prüft den Index nicht darauf ab, ob er positiv ist. In der Folge kann der Code an der Stelle außerhalb der vorgesehenen Speicherbereiche schreiben.

Weiter führt Backhouse aus, dass er noch Adress Space Layout Randomization (ASLR) für einen funktionierenden Proof-of-Concept umgehen musste. Und eine seccomp-Sandbox, auf die tracker-miners zum Schutz vor solchen Exploits setzt. Den Proof-of-Concept-Code hält Backhouse vorerst noch zurück, damit möglichst viele IT-Verantwortliche sowie Nutzerinnen und Nutzer ihren Gnome-Desktop aktualisieren können.

Kevin Backhouse hatte sichtlich Freude an der Erstellung der Sicherheitswarnung. In den Beispielen für Cue-Sheets und Musikdateien finden sich ständig Hinweise auf Rick Astley und seinem 80er-Jahre-Hit "Never gonna give you up". Allerdings spielt das Video oder das Lied an keiner Stelle ab, sodass es sich wohl um einen unvollendeten Rickroll handelt. Als Ohrwurm dudelt das jetzt wohl aber trotzdem bei denen, die das noch kennen.

Das Update sollten Gnome-Nutzerinnen und Nutzer zügig installieren. Für die kürzlich entdeckte glibc-Lücke tauchten nur zwei Tage nach Bekanntwerden stabile Proof-of-Concept-Exploits auf, mit denen bösartige Akteure die Schwachstelle einfach missbrauchen können.

(dmk)