Skype的Debian软件包可能允许攻击者完全接管机器

栏目: 服务器 · 发布时间: 6年前

内容简介:安全研究员Enrico Weigelt发现了Skype在Debian Linux机器上安装的Skype的Debian软件包使用APT配置配置文件,该配置文件自动将Microsoft的apt存储库插入到默认的系统软件包源中,允许任何有权访问它的人使用恶意工具来破坏计算机。通俗地说,APT存储库是.deb软件包的集合,用作所有基于Debian的Linux机器的中央存储,管理和交付平台。

安全研究员Enrico Weigelt发现了Skype在Debian Linux机器上安装的 关键安全问题 ,在系统的sources.list文件中添加其Microsoft的APT存储库。

Skype的Debian软件包使用APT配置配置文件,该配置文件自动将Microsoft的apt存储库插入到默认的系统软件包源中,允许任何有权访问它的人使用恶意 工具 来破坏计算机。

通俗地说,APT存储库是.deb软件包的集合,用作所有基于Debian的 Linux 机器的中央存储,管理和交付平台。

APT存储库可以在apt-get命令的帮助下用于在Debian机器上安装,删除或更新应用程序。

在获得对Microsoft的Debian apt存储库的控制权之后,攻击者将能够使用更新系统在各种发行版软件包中注入恶意内容,以及用恶意制作的软件包替换合法软件包。

Skype的Debian软件包可能允许攻击者完全接管机器

微软或能够访问其存储库私钥的第三方可以完全控制安装Skype的任何Debian机器

更糟糕的是,正如Canonical的Seth Arnold在Full Disclosure 邮件列表 中所指出的那样,因为Debian软件包的安装和卸载脚本使用完全root权限运行,如果攻击者知道他们在做什么,他们可以完全接管受影响的Debian计算机。

Weigelt为Microsoft提供了一个缓解解决方案,用于解决Skype Deiban软件包中的安全问题,即从.deb软件包中删除apt配置文件。

安装Skype后,用户还可以采取一些措施来保护他们的计算机免受攻击。

作为第一步,您可以删除Skype在Linux机器上安装后添加的源/列表条目,您可以手动解压缩并重新打包它,以确保Microsoft的apt存储库不会首先附加到sources.list 。

您还可以在受限容器中安装Skype,以限制使用Linux容器(LXC)的内核级隔离可以造成的损害。

“不受信任的软件包始终存在很大的安全风险 - 严重的安全风险不应安装在任何与安全相关的系统上,”Weigelt表示 “最好的选择,是一个精心 隔离的容器 (例如lxc或docker) - 不要让它访问你的私人数据,并确保你切断它的麦克风访问时,实际上没有Skype通话。”

Weigelt发现的漏洞首先被添加到CXSECURITY漏洞数据库,然后添加到Full Disclosure邮件列表中,并且它还没有常见漏洞和披露(CVE)标识号。

通过Snap在Ubuntu 17.10中安装Skype https://www.linuxidc.com/Linux/2018-02/150747.htm

Microsoft Loves Linux:Skype的Snap安装包发布 https://www.linuxidc.com/Linux/2018-02/150733.htm

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-10/154568.htm


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C++Templates中文版

C++Templates中文版

David Vandevoorde、Nicolai M.Josuttis / 陈伟柱 / 人民邮电出版社 / 2008-2 / 69.00元

本书是C++模板编程的完全指南,旨在通过基本概念、常用技巧和应用实例3方面的有用资料,为读者打下C++模板知识的坚实基础。 全书共22章。第1章全面介绍了本书的内容结构和相关情况。第1部分(第2~7章)以教程的风格介绍了模板的基本概念,第2部分(第8~13章)阐述了模板的语言细节,第3部分(第14~18章)介绍了C++模板所支持的基本设计技术,第4部分(第19~22章)深入探讨了各种使用模板......一起来看看 《C++Templates中文版》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

MD5 加密
MD5 加密

MD5 加密工具