Eine Sicherheitslücke erlaubt es, in legitime und vielbesuchte Websites unter Umständen beliebige Inhalte einzuschleusen, wenn die auf einem Linux-Server betrieben werden. Der Fehler ist auf die Implementierung des Standards RFC 5961 zurückzuführen, der seit der Version 3.6 ein Bestandteil des Linux-Kernels ist. Entdeckt haben ihn Wissenschaftler der University of California und des US-Army Research Laboratory, die den möglichen Exploit nun auf dem Usenix Security Symposium präsentiert haben. Da bei ihnen RFC 5961 noch nicht vollständig implementiert wurde, sind Windows und Mac OS X nicht angreifbar.
Über die Lücke ist ein sogenannter “Blind Off-Path”-Angriff möglich. Dabei lässt sich von einem beliebigen Standort im Internet aus feststellen, wenn zwei Parteien über eine aktive TCP-Verbindung kommunizieren. Angreifer können dann entweder Verbindung beenden, Schadcode ober beliebige Inhalte einfügen oder möglicherweise auch Nutzer des Anonymisierungsnetzwerks Tor ausspähen. Damit der Angriff funktioniert, reicht es aus, wenn nur eine der beiden Parteien eine Website oder ein Dienst ist, der auf einem Linux-Server ausgeführt wird.
Ihren Proof-of-Concept demonstrierten drei Forscher am Beispiel der Website von USA Today. Die wählten sie, weil die keine Verschlüsselung verwendet. Auf der Website lässt sich JavaScript-Code über Eingabefelder für E-Mail und Passwort einschleusen. Allerdings muss das schnell erfolgen denn der Angriff muss innerhalb von etwa 60 Sekunden abgeschlossen sein.
In der vor drei Wochen veröffentlichten Kernelversion 4.7 von Linux ist das Problem bereits behoben. Allerdings hat die noch nicht in alle Linux-Distributionen Eingang gefunden.
“Durch ausgiebige Experimente haben wir gezeigt, dass der Angriff sehr effektiv und zuverlässig ist”, schreiben die Forscher (PDF). Er lasse sich nicht nur gegen Websites, sondern auch gegen SSH-Verbindungen einsetzen. Durch eine vollständige Implementierung von RFC 5961 könnten andere Betriebssysteme unter Umständen künftig ebenfalls anfällig werden. Ihrer Ansicht nach wurde RFC 5961 so geschrieben, dass die direkte Implementierung in ein Betriebssystem “problematisch” ist. Sie teilen daher die Schuld für das Sicherheitsproblem zwischen den Autoren von RFC 5961 und den Entwicklern, die ihn in Linux implantiert haben auf.
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…