Nieuws
image

Chrome op Fedora kwetsbaar voor drive-by downloads

woensdag 16 november 2016, 12:47 door Redactie, 5 reacties

Een voormalig medewerker van Google heeft een zero day-aanval op Google Chrome op Fedora gedemonstreerd. Ook Ubuntu is kwetsbaar als de mp3-optie tijdens de installatie is geselecteerd. Een beveiligingsoplossing is nog niet voorhanden.

Volgens onderzoeker Chris Evans, tegenwoordig werkzaam voor Tesla Motors en voorheen verantwoordelijk voor Google's hackerteam Project Zero, zorgen twee riskante ontwerpkeuzes in Google Chrome en Fedora ervoor dat gebruikers via drive by-downloads kunnen worden aangevallen. In dit geval volstaat het bezoeken van een gehackte of kwaadaardige website.

De eerste riskante ontwerpkeuze is dat Chrome automatisch bestanden downloadt zonder dat hiervoor een bevestiging van de gebruiker voor is vereist. Evans stelt dat Chrome de veiligste algemene browser is. Dat geldt echter niet voor de optie dat bestanden automatisch worden opgeslagen. De manier waarop Firefox dan ook bestanden opslaat is volgens de onderzoeker "superieur" ten opzichte van die van Chrome, aangezien gebruikers bij deze browser downloads wel moeten bevestigen.

Het tweede probleem is dat de "tracker" software van Fedora automatisch gedownloade bestanden doorzoekt en indexeert, waaronder mediabestanden. Een aanvaller kan Chrome een kwaadaardig mediabestand laten downloaden dat vervolgens door de tracker wordt geïndexeerd. In het geval van een kwaadaardig mediabestand kan de aanvaller op deze manier zijn kwaadaardige code laten uitvoeren. Evans ontwikkelde een exploit die van dit proces misbruik maakt. Vooralsnog zorgt de exploit in het mediabestand ervoor dat er een crash plaatsvindt. Evans gaat echter kijken of het ook mogelijk is om willekeurige code uit te voeren.

Ubuntu 16.04 is ook kwetsbaar zolang de mp3-optie tijdens de installatie is geselecteerd. Evans merkt op dat de kwetsbaarheid minstens teruggaat tot Ubuntu 12.04. Ubuntu lijkt standaard geen desktopbestanden te indexeren. Daardoor is de impact kleiner, maar een aanvaller zou nog steeds een aanval via een usb-stick kunnen uitvoeren of de exploit naar het slachtoffer e-mailen die het bestand dan in een mediaspeler zou moeten openen.

"Dit was gewoon te eenvoudig. Het zou niet mogelijk moeten zijn om na een paar minuten onderzoek een ernstige geheugencorruptie-kwetsbaarheid in de standaard Linux-desktop te vinden. Hoewel het lastig is om te zeggen doen dit soort problemen zich niet voor met de standaardinstallatie van Windows 10. Is het mogelijk dat de veiligheid van de Linux-desktop aan het afbrokkelen is?", stelt Evans de vraag. De onderzoeker maakt nergens melding dat hij Google of Fedora heeft ingelicht. Chrome-gebruikers kunnen het automatisch downloaden van bestanden echter uitschakelen via de opties van de browser.

Reacties (5)
17-11-2016, 11:29 door ph-cofi
Holy shit! Het staat er echt: Windows 10 scoort een punt :) Een drive-by-download kwetsbaarheid op een OS dat vrije software zou propageren.
De crash is reproduceerbaar op mijn PCtje (Fedora 24, Gnome). Ben benieuwd wat de heer Evans nog meer kan opstarten op mijn PC. Voorlopig maar even tracker uitzetten (via Evans' tip).
17-11-2016, 15:02 door [Account Verwijderd]
[Verwijderd]
17-11-2016, 15:57 door Anoniem
Je weet waar je mee akkoord gaat als je software van google gebruit, maar dit is natuurlijk niet de bedoeling.
Tijdelijke oplossing: de tracker uitzetten. Hoe en waar doen we dit in bijvoorbeeld F24?
17-11-2016, 16:23 door Anoniem
Gebruik daarom Firefox de standaard Browser voor de meeste Linux distro's.
17-11-2016, 21:29 door ph-cofi - Bijgewerkt: 18-11-2016, 15:31
Tracker uitzetten, via tracker-preferences, tabblad "genegeerde inhoud", EDIT: voeg "*.avi" rechtsonder toe.

Mint heeft een update van chromium-browser en gst-plugins-bad uitgegeven. Goh wat toevallig. EDIT: Mint 18 heeft geen tracker geinstalleerd, dat scheelt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search