Kürzlich wurde eine Sicherheitslücke in Flatpak entdeckt, die es bösartigen oder kompromittierten Flatpak-Anwendungen erlaubt, aus der Sandbox auszubrechen und beliebigen Code auszuführen. Die Lücke wurde als CVE-2024-32462 katalogisiert.
Die Lücke nutzt eine Schwäche im Paket xdg-desktop-portal aus, die dort mit v1.18.4 behoben wurde. Der Fehler liegt in der missbräuchlichen Verwendung der Parameter --command und --bind im Kontext des Befehls flatpak run. Diese Parameter können missbräuchlich dazu genutzt werden, zusätzliche Befehle außerhalb der Sandbox auszuführen.
Anwender des stabilen Zweigs von Flatpak müssen mindestens auf flatpak 1.14.6 aktualisieren, um auf der sicheren Seite zu sein. Für ältere Zweige sind die Versionen 1.12.9 und 1.10.9 gepatched worden, für den Entwicklungszweig wird v1.15.8 empfohlen.
Na schau einer an… schön das ihr davon berichtet wenn’s mal nicht snap betrifft.
Es führt uns vor Augen, dass es das sichere System einfach nicht gibt und das ewige basching gegen X vollkommen für die Fische ist und auch am Beispiel des xz- Angriffs nichts wirklich sicher sein kann. In einem Artikel bei Heise wird das recht gut beschrieben und wie es aussieht wurde dabei nur an einem ganz kleinen Teil der Oberfläche gekratzt.
https://www.heise.de/news/xz-Attacke-Hinweise-auf-aehnliche-Angriffsversuche-bei-drei-JavaScript-Projekten-9687246.html
Was ich immer lustig finde ist wie hier: “bei Javascript-Projekten”
ja logisch es ist doch schon seit es JS gibt bekannt, das der Scheiss extrem anfaellig ist.
Auch wenn das totgeschwiegen wird, die meisten Tore werden da geoeffnet.
Das haben wir schon immer gesagt und auch dagegen angekaempft aber leider mussten wir gegen ein Imperium kaempfen.
closed source hat das gleiche Problem, obwohl die meiste ja eh ueber eine Backdoor verfuegen duerften. … Dagegen ist man auch machtlos, wenn der Feind im inneren sitzt.
Ich finde, das ist eine ziemlich überhebliche Einstellung.
Javascript ist einfach für viele Themen der Nachfolger von PHP. Es ist ein leichter Einstieg für viele Leute in die Web/Frontend und dann Backend entwicklung. Die Kollaboration wurde sehr leicht gemacht, auf Kosten der Sicherheit.
Mit einem Imperium hat das aus meiner Sicht wenig zu tun.
Die Leute haben schon bei PHP gejammert, dass das kacke ist. Dann bei Python und Javascript. Aber bieten immer keine Alternativen.
Ausser Perl. Was seine eigenen Probleme und Macken hat(te).
OpenSource/FreeSoftware zeigt halt nunmal gut die Diversität der Welt, viele Leute haben viele unterschiedliche Meinungen, wie das aussehen könnte oder auszusehen hat. Andere (offene, freie) Software so abzutun zeugt irgendwie nicht von guter Einstellung.
Ich rede hier schon von den 199x Zeiten, als Netscape(SUN) damit kam.
Es gab genug alternativen aber man wollte den einfachen Weg gehen, da Programmierleistung damals sehr viel Geld kostete und man nach einer pPS suchte, die einfach ist, um nicht mehr die versierten Leute nur zu beschaeftigen sondern es auf eine groessere Masse auszukippen.
PHP wurde parallel von der Foundation als verlaesslichere, nicht firmeneigene PS entwickelt.
Damals schon wehrten wir uns gegen diese Dinge, auch weil es heillos unsicher war und auch noch ist.
Natuerlich hat es sich gebessert gegenueber den Anfangsjahren.
PHP und JS lagen damals gleich auf. Aber der Konzern setzte JS schliesslich durch.
PHP stuetzt sich auf c++, C, Perl, Java, Tcl, html erst spaeter auch auf JS.