Das GitHub Security Lab informierte vor zwei Tagen über eine Lücke in der Bibliothek libcue, die es einem Angreifer erlaubt, Schadcode auszuführen. Es handelt sich um eine Schwachstelle in der Speicherverwaltung, die unter CVE-2023-43641 katalogisiert wurde.
Cue-Sheets von FLAC
Der Sicherheitsforscher Kevin Backhouse, der die Lücke entdeckte und mit Ilya Lipnitskiy, dem Maintainer von libcue öffentlich machte, vermutet, dass die meisten Anwender noch nie von dieser Bibliothek gehört haben und liegt bei mir damit völlig richtig. Libcue ist eine Bibliothek zum Parsen von Cue Sheets, einem Metadatenformat zur Beschreibung des Layouts der Tracks auf einer CD und wird oft im Zusammenhang mit dem verlustfreien Audio-Codec FLAC verwendet. Somit ist libcue als Abhängigkeit in verschiedenen Audio-Playern zu finden.
GNOME Indexer
Beim GNOME Desktop wird libcue zusätzlich von der Anwendung Tracker-Miners verwendet, einer Suchmaschine, die die Desktop-Suche für die Kernkomponenten von GNOME betreibt. Der Index der Suchmaschine wird automatisch aktualisiert, sobald eine Datei in bestimmten Unterverzeichnissen des Home-Verzeichnisses wie etwa ~/Downloads hinzugefügt oder geändert wird. Kurz gesagt bedeutet dies, dass ein Anwender nur versehentlich auf einen bösartigen Link klicken muss, um CVE-2023-43641 auszunutzen und Code auf Ihrem Computer auszuführen.
Ein Klick genügt
Der Angreifer stellt über eine bösartige Webseite eine präparierte .cue-Datei bereit, die die vom Anwender in seinen Download-Ordner heruntergeladen wird. Da die Datei die Dateinamenerweiterung .cue hat, verwendet Tracker-Miners libcue, um die Datei zu parsen. Ein Klick auf die .cue reicht dann aus, um den enthaltenen Schadcode auszuführen. Backhouse demonstriert das in einem kurzen Video auf GitHub.
Backhouse fordert GNOME-Anwender auf, zeitnah zu aktualisieren, Patches liegen bereits für viele gängige Distributionen vor.