Schwachstelle in Chrome und damit wohl in Chromium

Google hat verkündet, daß jeder mal sein Chrome auf den neusten Stand bringen muß, weil für die erst vor 4 Tagen gebaute 88.0.4324.96 schon Exploits im Umlauf sind.

Schwachstelle in Chrome und damit wohl in Chromium

Eine Schwachstelle in Chrome muß jetzt nicht gleichzeitig eine in Chromium sein, aber bis das geklärt ist, gehen wir mal davon aus, daß es das ist.

Jetzt haben wir nur ein Problem, zumindest für Fedora gibt es noch keinen Build zu dem man wechseln könnte. Die 88.0.4324.96-4 ist gestern erst gebaut worden. Hätte es da die 150 schon gegeben, wäre die vermutlich benutzt worden.

Für Eure Distros müßte jetzt mal in Eure Updatecenter schauen, ob die vielleicht schon eine neue 150er Version für Euch haben.

Die Schwachstelle

Über die Schwachstelle wissen wir, daß Sie in der Javascript-Engine von Chrome enthalten ist, da das keine angepaßte Komponente ist, wird das so auch für den Chromium gelten. Google gab dazu auch bekannt, das es bereits über eingesetzte Exploits informiert wurde. Für die unter Euch, die sich informieren wollen: CVE-2021-21148 ist eure Nummer.

D.b. wenn Ihr kein Update habt: Internetverbot für Chrome/ium bis das Update da ist.

 

CVE-2020-15999: Der Kelch, der an Euch vorbei ging

Nein, heute geht es nicht um Dichtung, eher um Undichtigkeiten in Betriebssystemen 😉

CVE-2020-15999: Der Kelch, der an Euch vorbei ging

Google’s Projekt Zero hat im Oktober eine Serie von kritischen Bugs offengelegt, mit deren Hilfe iOS, Android, Windows, Macs und Linuxsysteme übernommen werden konnten. Die Lücken sind so groß, daß Apple sogar noch Iphone 5s aktualisiert und die sind seit Jahren im End-of-Live.

Ein Blick auf eine dieser Lücken zeigte, daß diese auch für Linux vorhanden war, aber unter dem Radar bliebt: FreeType < 2.10.4

„Bug #1890210 – CVE-2020-15999 freetype: heap-based buffer overflow via malformed ttf files“

Red Hat hat dazu im Bugreport geschrieben:

„A flaw was found in freetype in the way it processes PNG images embedded into fonts. A crafted TTF file can lead to heap-based buffer overflow due to integer truncation in Load_SBit_Png function.“

Wer in den letzten Tagen die Updates verfolgt hat, weiß, daß es für Chrome, FireFox, Thunderbird eine schere Sicherheitslücke beim Webseitenaufruf gab. Über den Bug im FreeType, einer Font-Rendering-Engine, die auch und gerade in Webbrowsern genutzt wird, konnte mit Hilfe eines manipulierten Fontfiles, und da zählen auch WebFonts zu, das komplette System übernommen werden.

Diese Lücke betraf uns alle, und mit alle meine ich wirklich ALLE auf dem Planeten.

Wie kann eine so simple Sache wie einen Fontrendern, zu einer Systemübernahme führen? Das liegt daran, daß es sich hierbei wohl um den ersten Schritt in einer ganzen Exploitchain handelt. Hat man erstmal den Fuß im Chrome oder Firefox, muß man nur noch dort ausbrechen können und das war bei Chrome über einen Sandbox-Escape möglich. Danach findet sich im Kernel schon eine Schwachstelle, gerade bei Handies.

Von der Tragweite der Lücke mal abgesehen, rankt sich um die Google Veröffentlichung noch einiges andere. In der Szene munkelt man von „Spionagekram“, wozu auch paßt, daß keiner der Beteiligten dazu irgendwas sagen möchte. Nachdem der Exploit verbrannt ist, dürften die früheren Nutzer ziemlich sauer auf Google sein. Das Google uns aber nicht sagen kann, woher die Exploits stammen und wie Sie darauf aufmerksam wurden, spricht dafür, daß es ein „us-heimischer“ Dienst war, sonst wären die Antworten vermutlich anders. Aber, genaueres weiß man nicht, da keiner reden will.

Also feiert, daß ein Angriff weniger auf Euch möglich ist und wer von Euch Software schreibt, denkt bitte daran, wirklich sauber zu arbeiten, weil auch die unbedeutendste Lib einen immensen Schaden anrichten kann!

Google Chrome löscht sich selbst per Update

„Google ist dumm, wie Esel ist schlau“ würde unser Lieblings-Pseudo-Osteuropäer sagen, denn Google selbst hat Chrome per Update auf allen RPM basierten Linuxservern unabsichtlich entfernt.

Grund war ein falsch zusammengebautes RPM im Google Repository. Die Datei /usr/bin/google-chrome-stable fehlte im Update vom 2. September 2016 einfach. Lustigerweise ist das ausgerechnet die wichtigste 😉

Sep 02 09:11:48 INFO Upgraded: google-chrome-stable-53.0.2785.89-1.x86_64
Sep 02 09:11:49 INFO Cleanup: google-chrome-stable-52.0.2743.116-1.x86_64

# rpm -ql google-chrome-stable

/opt/google/chrome/xdg-mime

/opt/google/chrome/xdg-settings
/usr/bin/google-chrome
/usr/share/applications/google-chrome.desktop
/usr/share/gnome-control-center/default-apps/google-chrome.xml
/usr/share/man/man1/google-chrome.1

Mit dem heutigen Update google-chrome-stable-53.0.2785.92-1.x86_64.rpm kam die Datei dann wieder auf die Computer drauf 🙂

Ursache für den Fehler dürfte eine neue Directoyhierarchie sein, die aus dem Binary einen Link gemacht hat:

0 lrwxrwxrwx. 1 root root   31  3. Sep 20:54 /usr/bin/google-chrome -> /etc/alternatives/google-chrome
0 lrwxrwxrwx. 1 root root   29  3. Sep 20:54 /etc/alternatives/google-chrome -> /usr/bin/google-chrome-stable

0 lrwxrwxrwx. 1 root root   32  2. Sep 01:20 /usr/bin/google-chrome-stable -> /opt/google/chrome/google-chrome
4 -rwxr-xr-x. 1 root root 2112  2. Sep 01:20 /opt/google/chrome/google-chrome

Update: 6.9..2016

Heute kam dann der Grund für das wohl überhastete Update :

Am 1. 9. 2016 gab es Advisories für Chrom und Chromium, die eine echt krasse Sicherheitslücke im Browser offenbaren:

Mehrere Schwachstellen in Google Chrome vor Version 53.0.2785.89 auf Windows,
Mac OS X und Linux Systemen ermöglichen einem entfernten, nicht
authentifizierten Angreifer das Ausführen beliebigen Programmcodes, Umgehen
von Sicherheitsvorkehrungen, Darstellen falscher Informationen, Durchführen
von Cross-Site-Scripting (XSS)-, Universal-Cross-Site-Scripting (UXSS)- und
Denial-of-Service (DoS)-Angriffen sowie weitere nicht spezifizierte Angriffe.

In dem Licht betrachtet, könnte es auch Absicht gewesen sein, die Browser zu deaktivieren und die User zu schützen.

Tracking über Browser API des Batteriestatuses

Wie die Webseite TheHackernews.com heute berichtet, ist es Forschern der Standford University bereits in 2015 gelungen, einen Super-Super-Cookie zu nutzen, in dem sie über die Browser API der mobilen Versionen von Chrome, Opera und Firefox den Batteriestatus abgefragt haben. Durch die Kombination von angezeigter „verbleibender Zeit in Sekunden“ und dem Prozentwert der Ladung, ergeben sich bis zu 14 Millionen Kombinationen, die man Geräten zu ordnen kann.

Steve Engelhard and Arvind Narayanan von der Princeton University, konnten nun in einem Forschungsbericht  zeigen, daß diese Technik bereits von Webseiten zum aktiven Tracken von Benutzern eingesetzt wird.

Zusammen mit anderen Techniken wird es damit immer schwerer dem Online-Tracking zu entgehen. Aber natürlich kann man etwas dagegen tun, denn auch für FireFox Mobile gibt es Noscript!  Ohne Javascript kann man Browser-Api’s nicht abfragen, was dazu führt, daß man nur ohne Javascript surfen muß.

Sollte man jetzt glauben, den Webseitenbetreibern ginge nur ums das reine Tracking dabei, weit gefehlt, daß ist nur zur Verbesserung der Identifikationsrate da, denn Tracking geht über sehr viele Browsermerkmale bereits gut ( mit Javascript).

Den Batteriestatus zu kennen, verleitet Verkäufer jetzt aber dazu, abhängig vom Stand die Preise zu ändern. Der Gedanke: „Der User ist unter Stress, weil seine Batterie bald schlapp macht und daher kauft er jetzt sofort das Erstbeste zum erstbesten Preis. Suchen bei der Konkurrenz kommen wegen des Batteriestandes nicht mehr in Frage. “

Damit könnte der Verkäufer sogar recht haben. Also, was heißt das ? Bei FireFox Javascript abschalten und gleichzeitig eine neue Kampagne starten, diese API zu begraben! Das man Chrome dazu bewegen kann, ist eher unwahrscheinlich. Google lebt ja vom Tracking anderer Leute 😉

Referenzen:

INRIA Privatics Forschungsbericht
Lukas Olejnik Blog
Random Walker – OpenWPM

Quelle: thehackernews.com

Neues Skype für Linux

Der eine oder andere hat es schon gelesen, Microsoft will neue Versionen von Skype als WEBRTC Version umsetzen. Die aktuelle ALPHA ist nur mit Chrome als Browser benutzbar und hat noch dazu das Manko, daß man sich mit Benutzern der Clientenversion nicht verbinden kann. Wann das umgesetzt sein wird, wird sich zeigen.

Das 64Bit Paket für Redhat, CentOS und Fedora braucht 138 MB (55 MB RPM) Platz auf der Platte, aber glücklicherweise keine Abhängigkeiten, die (bei mir) nicht schon drauf wären.

Die ersten Tests haben ergeben:

  1. es ist genauso schlecht, wie man es von M$ erwarten konnte: Platzverschwendung ohne Ende.
  2. Kaum noch Optionen zum Einstellen
  3. Obwohl zwei Dutzend Sprachpakete installiert wurden, kann man keine davon auswählen :facepalm:
  4. Die Fenster sind übergroß gestaltet und nehmen nur Platz weg. So „elegant“ wie das alte Skype ist es nicht und wird es auch nie wieder werden.
  5. Man kann nichtmal Mikro und Kamera auswählen.
  6. Wer sich den ersten Screenshot mal genauer ansieht, wird bemerken, daß der Splashscreen nicht abschliesst.
  7. Chatten geht.
  8. Anrufen .. naja, es hat geklingelt 🙂
  9. Angerufen werden .. öhm.. nein. Das ging nicht ( SkypeIN )
  10. Video Calls : gehen nicht.
  11. Wenn man den Account editieren will, lockt es einen auf die skype.com Webseite
  12. Positiv: Fensterskalierung

    Die Fensterskalierungoptions mit ZOOM IN/OUT macht es dann doch „etwas“ schlanker, aber nicht annäherend so gut wie das Alte.  Problem, der Font wird unleserlich klein. Wie es aussieht ist die Webanwendung Responsive programmiert worden. Ja, das Skype ist nur noch ne lokale WebApp 😀 Und weil es eine WebApp ist, ist der das Lesbarkeitsproblem egal 😉

Ein paar Screenshots :

 

Skype-4-Linux-1Riesig viel Platz verschwendet.
Skype-4-Linux-2Ihr seht richtig: DAS SIND ALLE OPTIONEN!

Fazit

Das es eine Alphaversion ist, merkt man. Das es besser wird, darf man nicht erwarten, man weiß ja von wem das verbrochen wird.

Am Ende wird es wohl funktionieren, aber ob wir es lieben werden, hmm.. da habe ich meine Zweifel.

Download: skype.com – Skype for Fedora

Google und die Post-Quantum Kryptographie

Seit neuesten hat Google einen Kryptoalgorithmus im Browsertest mit Chrome, der vor Angriffen mit Quantencomputern schützen soll. Das Projekt ist auf zwei Jahre begrenzt. In dieser Zeit sollen aussagekräftige Ergebnisse vorliegen und am Ende ein noch besserer Algorithmus herauskommen, der dann sicher vor „Angriffen aus der Quantenwelt“ schützt.

Der Name des Algorithmuses leitet sich möglicherweise aus Star Wars 4 ab : „New Hope“; könnte aber natürlich auch einfach nur der Stimmung entsprechen, endlich was gegen Quantencomputer gefunden zu haben 🙂 An der Sache arbeiten die Schöpfer schon seit Dezember 2015, als aus einer Menge an Ideen, der vielversprechenste Ansatz von Google ausgewählt wurde. Wer über die Abkürzung „CECPQ1“ stolpert, hat den Algo gefunden 😉

Quelle: security.googleblog.com

Die Woche im Netz

Die Journalisten um Glenn Greenwald und Edward Snowden haben die erste Charge der NSA Dokumente ins Netz gestellt, so daß noch mehr Menschen in den Unterlagen nach „Stories“ suchen können.

Quelle: The-Intercept-Releasing-Docs-Leaked-By-NSA-Whistleblower-Snowden.html

Neuerdings gehen wieder Todesdrohungen durch das Netz, die allerdings nur eine Variante des als 419 bekannten Betrugs sind, um Ihnen Geld abzuluchsen.  419 Scam heißt das übrigens, weil es im Nigerianischen Gesetz einen Paragraphen 419 gibt, der genau diese Art Betrug unter Strafe stellt. Wenn man all den Geschichten aus Nigeria trauen darf, die Leute erlebt haben, die sich dort an die Justiz gewandt haben, ist das königlich bayrische Amtsgericht ( vielen noch vom Sonntagvorabendprogramm bei Ihren Eltern bekannt ) eine Farce genau dieser Gerichtsverhandlungen 😀 Wie immer AB IN DIE DIGITALE TONNE mit dem Müll.

Quelle: The 419 Death Scam

Der Chromebrowser blockiert also endlich Flash! Meine Güte hat das gedauert. NoScript macht das in meinem FireFox schon seit Jahren und wie wir alle wissen, zu recht.

Quelle: Chrome blockiert Flash

WhatsApp muß seine AGBs hierzulande eindeutschen, ansonsten >bleiben< Sie ungültig. d.b. auch andere AGBs, welche nicht auf Deutsch gehalten sind und lustige Regeln zum Vorteil der US Firmen beinhalten, dürften ungültig sein. Das hört man gern.

Quelle: Heise.de – Weitere Schlappe für WhatsApp

Erstes Treffen der Linuxuser Braunschweig nach dem erfolgreichen LPD 2016 Ende April. Gut besucht war das „Regründungstreffen“ der BS-LUG im Protohaus, am Mittwochabend. Beschlossen wurde u.a. eine Installationsparty für Linuxinteressierte im Juli.

Quelle: mehr hier, beim Augenzeugen 😉

Holland trifft das Tor ! Netzneutralität im Gesetz verankert und im Mobilfunk auch gleich noch gegen Schummeltricks vorgegangen. So geht das mit der Netzneutralität liebe Bundesregierung!

Quelle: Netzneutralitaet – Niederlaendisches Parlament verbietet Zero Rating

Die Macher von Teslacrypt entschuldigen sich und geben den Masterkey raus. Ob Sie zu Gott gefunden haben und Ihre Taten bereuen ? 🙂

Quelle: Golem.de

Der Kartendienst von GNOME bekommt eine Option für den öffentlichen Nahverkehr verpaßt. Als Routingbackend kommt OTP zum Einsatz. Bleibt nur die Frage zu klären, ob OTR z.b. auch deutschen ÖPNV kann.

Quelle: http://ml4711.blogspot.com/2016/05/news-on-public-transit-routing-in-gnome.html

Wenn Ihr Computer zwar Geld verdient, Sie aber nichts abgekommen, könnte es daran liegen, daß Ihnen das Botnetz, in dem Ihr PC arbeitet, schlicht nicht gehört.

Quelle: The Hacker News

Zu wenig Geld auf dem Konto ? Fragen Sie doch mal diese Bank, die hat offensichtlich mehrere Milliarden zuviel rumliegen.

Quelle: The Hacker News

So etwas sieht man nicht alle Tage! Polizeikameras haben einen nächtlichen Meteoriteneinschlag aufgezeichnet. Sieht echt geil aus, wenn man nicht im Einschlagskrater wohnt.

Quelle: Space.com

Coole Idee im Irak, sollte man an Deutschen Unis und Schulen auch mal einführen.. aber wieso schalten Sie nicht nur das Mobilfunknetz aus , denn ohne das Netz, kein INET auf dem Handy ?

Quelle: Irak schaltet Internet für Prüfungen ab.

Leider ist die Mozilla Foundation mit dem Versuch gescheitert, an eine vom FBI genutzt Sicherheitslücke zu kommen. Der zuständige Richter lehnte das Gesuch ab 🙁

Quelle: FBI muß Mozilla keine Informationen über Sicherheitslücke übergeben

Sie glauben Facebook wäre eine schlimme Datenkrake? Dann werden Sie diese App hassen: findFace!
Ihnen geht die Freundin auf den Keks, aber sie sieht nett aus? Suchen Sie doch eine neue, die genauso aussieht: findFace!

Quelle: The Hackernews – findface Face Recognition

Vor ca. 5 Jahren wurde Megaupload dichtgemacht. Seitdem liegen die Festplatten mit Inhalten bei den Hostern auf Halde und warten darauf, daß es in dem Verfahren weitergeht. Einer der Provider hat jetzt bekannt gegeben, daß 50% der bei ihm gelagerten Platten vom Megaupload nicht mehr reagieren, also nicht mehr lesbar sind. Man ist sich noch nicht ganz sicher, ob es nur die Mechanik oder wirklich das Medium ist. Wenn das auf alle Megauploadplatten zutrifft, bröckelt der Anklage grade das Beweismaterial weg.

Quelle: Torrentfreak.com

Das FOX Network verstößt gegen den DMCA, um den DMCA zu benutzen, um dann den Urheber zu kriminalisieren. Sowas gibt nur in den USA 😉

Quelle: Fuchs, Du hast den Clip gestohlen, gib ihn wieder her…

NetFlix Chrome : m7111-1957-205032

NetFlix und Linux sind ja  so zwei Dinge die nicht sofort funktionieren.

NetFlix Wenn man NetFlix nutzen will, muß man Google-Chrome installieren. Im Prinzip funktioniert es dann out-of-the-box. Wer aber beim Playback den Fehler „m7111-1957-205032“ bekommt, der ist aufgeschmissen, denkt man. Die Lösung liegt im Deinstallieren des „Fedora-user-agent-chrome“ Pakets. Das installiert sich nämlich ungefragt mit und funktioniert dann nicht mal 🙁

Wenn das runter ist vom Rechner, Chrome neustarten und dann bei NetFlix diese URL aufrufen:

http://netflix.com/clearcookies

Das löscht die alten Cookies auf dem Server. Dort steht u.a. auch der User-Agentstring, den das Plugin gestört hatte. Wenn man dann NetFlix aufruft, geht es einfach. Viel Spaß.