Das GitHub Security Lab informierte vor zwei Tagen über eine Lücke in der Bibliothek libcue, die es einem Angreifer erlaubt, Schadcode auszuführen. Es handelt sich um eine Schwachstelle in der Speicherverwaltung, die unter CVE-2023-43641 katalogisiert wurde.
Cue-Sheets von FLAC
Der Sicherheitsforscher Kevin Backhouse, der die Lücke entdeckte und mit Ilya Lipnitskiy, dem Maintainer von libcue öffentlich machte, vermutet, dass die meisten Anwender noch nie von dieser Bibliothek gehört haben und liegt bei mir damit völlig richtig. Libcue ist eine Bibliothek zum Parsen von Cue Sheets, einem Metadatenformat zur Beschreibung des Layouts der Tracks auf einer CD und wird oft im Zusammenhang mit dem verlustfreien Audio-Codec FLAC verwendet. Somit ist libcue als Abhängigkeit in verschiedenen Audio-Playern zu finden.
GNOME Indexer
Beim GNOME Desktop wird libcue zusätzlich von der Anwendung Tracker-Miners verwendet, einer Suchmaschine, die die Desktop-Suche für die Kernkomponenten von GNOME betreibt. Der Index der Suchmaschine wird automatisch aktualisiert, sobald eine Datei in bestimmten Unterverzeichnissen des Home-Verzeichnisses wie etwa ~/Downloads hinzugefügt oder geändert wird. Kurz gesagt bedeutet dies, dass ein Anwender nur versehentlich auf einen bösartigen Link klicken muss, um CVE-2023-43641 auszunutzen und Code auf Ihrem Computer auszuführen.
Ein Klick genügt
Der Angreifer stellt über eine bösartige Webseite eine präparierte .cue-Datei bereit, die die vom Anwender in seinen Download-Ordner heruntergeladen wird. Da die Datei die Dateinamenerweiterung .cue hat, verwendet Tracker-Miners libcue, um die Datei zu parsen. Ein Klick auf die .cue reicht dann aus, um den enthaltenen Schadcode auszuführen. Backhouse demonstriert das in einem kurzen Video auf GitHub.
Backhouse fordert GNOME-Anwender auf, zeitnah zu aktualisieren, Patches liegen bereits für viele gängige Distributionen vor.
Das latente Sicherheitsrisiko namens Debilian hat es auch immer noch nicht in Stable bekommen:
security-tracker.debian.org/tracker/source-package/libcue
Bei mir steht unter Deinem Link unter Bookworm “fixed”.
Und nun?
Nix und nun…
Du kommst immer mit den gleichen langwelligen und trolligen Sprüchen/Parolen. Hier weiß jeder das du weder GNOME noch Debian magst. Versuch doch mal was sinnvolles oder bekommst du das nicht hin?
Wäre besser gewesen die Entwicklung von Gnome ganz zu stoppen. Sicherheitslöcher dieser Art, weisen auf ein strukturelles Problem hin. Da ist es mit einem Bugfix nicht getan.
Jetzt erklaer mir mal bitte, was das mit Gnome im großen Ganzen zu tun hat.
libcue ist ein fork von cuetools dem einige features hinzugefügt wurden.
Du hast scheinbar immer noch nicht begriffen, das Distributionen etc. sich einfach immer bei verschiedenen, jedem auch so zur Verfügung stehenden, freien programmen etc. bedienen und diese nur mit bei sich einarbeiten, eben nutzen.
Don’t feed the trolls…