Skype的Debian軟體包可能允許攻擊者完全接管機器
安全研究員Enrico Weigelt發現了Skype在Debian Linux機器上安裝的 ofollow,noindex">關鍵安全問題 ,在系統的sources.list檔案中新增其Microsoft的APT儲存庫。
Skype的Debian軟體包使用APT配置配置檔案,該配置檔案自動將Microsoft的apt儲存庫插入到預設的系統軟體包源中,允許任何有權訪問它的人使用惡意工具來破壞計算機。
通俗地說,APT儲存庫是.deb軟體包的集合,用作所有基於Debian的Linux機器的中央儲存,管理和交付平臺。
APT儲存庫可以在apt-get命令的幫助下用於在Debian機器上安裝,刪除或更新應用程式。
在獲得對Microsoft的Debian apt儲存庫的控制權之後,攻擊者將能夠使用更新系統在各種發行版軟體包中注入惡意內容,以及用惡意製作的軟體包替換合法軟體包。
微軟或能夠訪問其儲存庫私鑰的第三方可以完全控制安裝Skype的任何Debian機器
更糟糕的是,正如Canonical的Seth Arnold在Full Disclosure 郵件列表 中所指出的那樣,因為Debian軟體包的安裝和解除安裝指令碼使用完全root許可權執行,如果攻擊者知道他們在做什麼,他們可以完全接管受影響的Debian計算機。
Weigelt為Microsoft提供了一個緩解解決方案,用於解決Skype Deiban軟體包中的安全問題,即從.deb軟體包中刪除apt配置檔案。
安裝Skype後,使用者還可以採取一些措施來保護他們的計算機免受攻擊。
作為第一步,您可以刪除Skype在Linux機器上安裝後新增的源/列表條目,您可以手動解壓縮並重新打包它,以確保Microsoft的apt儲存庫不會首先附加到sources.list 。
您還可以在受限容器中安裝Skype,以限制使用Linux容器(LXC)的核心級隔離可以造成的損害。
“不受信任的軟體包始終存在很大的安全風險 - 嚴重的安全風險不應安裝在任何與安全相關的系統上,”Weigelt表示 “最好的選擇,是一個精心 隔離的容器 (例如lxc或docker) - 不要讓它訪問你的私人資料,並確保你切斷它的麥克風訪問時,實際上沒有Skype通話。”
Weigelt發現的漏洞首先被新增到CXSECURITY漏洞資料庫,然後新增到Full Disclosure郵件列表中,並且它還沒有常見漏洞和披露(CVE)標識號。
通過Snap在Ubuntu 17.10中安裝Skype https://www.linuxidc.com/Linux/2018-02/150747.htm
Microsoft Loves Linux:Skype的Snap安裝包釋出 https://www.linuxidc.com/Linux/2018-02/150733.htm
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新連結地址: https://www.linuxidc.com/Linux/2018-10/154568.htm