Ubuntu: Schwere Sicherheitslücke erlaubte Root-Zugriff für alle (17. November 2020/13:02) Problem war besonders einfach auszunutzen - Mittlerweile durch Update geschlossen Es ist eine besonders unerfreuliche Lücke, die Sicherheitsforscher Kevin Backhouse da im Desktop von Ubuntu gefunden hat: Über einen einfachen Trick ist es ihm gelungen, Root-Rechte zu erlangen, das Schreiben eines klassischen Exploits war dafür also nicht vonnöten. Den Angriffspunkt bildete eine Infrastrukturkomponente namens AccountsService, die Desktop-Programmen den Zugriff auf Informationen zu Benutzerkonten und deren Veränderung ermöglicht. Backhouse gelange es nach einem Logout einen Absturz des AccountsService auszulösen. Infolge geht der Login-Manager GDM3 davon aus, dass keine Benutzerkonten vorhanden sind und es sich um ein neu einzurichtendes System handelt. Also war es möglich einfach ein neues Konto anzulegen - und zwar eben auch eines mit Administratorrechten.
|
https://ress.at/ubuntu-schwere-sicherheitsluecke-erlaubte-rootzugriff-fuer-alle-news17112020130253.html
© by RessServerWorks, 2024