Skype的Debian软件包可能允许攻击者完全接管机器

栏目: 服务器 · 发布时间: 6年前

内容简介:安全研究员Enrico Weigelt发现了Skype在Debian Linux机器上安装的Skype的Debian软件包使用APT配置配置文件,该配置文件自动将Microsoft的apt存储库插入到默认的系统软件包源中,允许任何有权访问它的人使用恶意工具来破坏计算机。通俗地说,APT存储库是.deb软件包的集合,用作所有基于Debian的Linux机器的中央存储,管理和交付平台。

安全研究员Enrico Weigelt发现了Skype在Debian Linux机器上安装的 关键安全问题 ,在系统的sources.list文件中添加其Microsoft的APT存储库。

Skype的Debian软件包使用APT配置配置文件,该配置文件自动将Microsoft的apt存储库插入到默认的系统软件包源中,允许任何有权访问它的人使用恶意 工具 来破坏计算机。

通俗地说,APT存储库是.deb软件包的集合,用作所有基于Debian的 Linux 机器的中央存储,管理和交付平台。

APT存储库可以在apt-get命令的帮助下用于在Debian机器上安装,删除或更新应用程序。

在获得对Microsoft的Debian apt存储库的控制权之后,攻击者将能够使用更新系统在各种发行版软件包中注入恶意内容,以及用恶意制作的软件包替换合法软件包。

Skype的Debian软件包可能允许攻击者完全接管机器

微软或能够访问其存储库私钥的第三方可以完全控制安装Skype的任何Debian机器

更糟糕的是,正如Canonical的Seth Arnold在Full Disclosure 邮件列表 中所指出的那样,因为Debian软件包的安装和卸载脚本使用完全root权限运行,如果攻击者知道他们在做什么,他们可以完全接管受影响的Debian计算机。

Weigelt为Microsoft提供了一个缓解解决方案,用于解决Skype Deiban软件包中的安全问题,即从.deb软件包中删除apt配置文件。

安装Skype后,用户还可以采取一些措施来保护他们的计算机免受攻击。

作为第一步,您可以删除Skype在Linux机器上安装后添加的源/列表条目,您可以手动解压缩并重新打包它,以确保Microsoft的apt存储库不会首先附加到sources.list 。

您还可以在受限容器中安装Skype,以限制使用Linux容器(LXC)的内核级隔离可以造成的损害。

“不受信任的软件包始终存在很大的安全风险 - 严重的安全风险不应安装在任何与安全相关的系统上,”Weigelt表示 “最好的选择,是一个精心 隔离的容器 (例如lxc或docker) - 不要让它访问你的私人数据,并确保你切断它的麦克风访问时,实际上没有Skype通话。”

Weigelt发现的漏洞首先被添加到CXSECURITY漏洞数据库,然后添加到Full Disclosure邮件列表中,并且它还没有常见漏洞和披露(CVE)标识号。

通过Snap在Ubuntu 17.10中安装Skype https://www.linuxidc.com/Linux/2018-02/150747.htm

Microsoft Loves Linux:Skype的Snap安装包发布 https://www.linuxidc.com/Linux/2018-02/150733.htm

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-10/154568.htm


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Linux程序设计

Linux程序设计

Neil Matthew、Richard Stones / 陈健、宋健建 / 人民邮电出版社 / 201005 / 99.00元

时至今日,Linux系统已经从一个个人作品发展为可以用于各种关键任务的成熟、高效和稳定的操作系统,因为具备跨平台、开源、支持众多应用软件和网络协议等优点,它得到了各大主流软硬件厂商的支持,也成为广大程序设计人员理想的开发平台。 本书是Linux程序设计领域的经典名著,以简单易懂、内容全面和示例丰富而受到广泛好评。中文版前两版出版后,在国内的Linux爱好者和程序员中也引起了强烈反响,这一热潮......一起来看看 《Linux程序设计》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

MD5 加密
MD5 加密

MD5 加密工具

html转js在线工具
html转js在线工具

html转js在线工具