Auch Thunderbird weist die gestern in Firefox bekannt gewordene Schwachstelle auf, durch die beim Programmaufruf mit URLs als Parameter Shell-Befehle ausgeführt werden. Dies könnte über mailto:-Links in Web-Seiten ausgenutzt werden, wenn Thunderbird als Standard-Mailprogramm im Browser eingerichtet ist.

Der Aufruf von Thunderbird über die Kommandozeile mozilla-thunderbird -compose 'mailto:test@da.de`id`' bringt den Befehl id zur Ausführung, in die Ziel-Adresse wird die Ausgabe des Programmes eingebaut. Der Fehler liegt abermals in dem Skript, das beim Programmaufruf ausgeführt wird. Hier wird die Eingabe nicht ausreichend überprüft.

Derzeit ist kein Workaround bekannt. Es ist auch nicht klar, wann eine neue Thunderbird-Version veröffentlicht wird, um den Fehler zu beheben. Im Bugzilla-Eintrag zur Firefox-Lücke wird Thunderbird bisher noch gar nicht erwähnt.

QUELLE

@Moby: wenn ich das richtig verstanden habe, ist es damit möglich, über einen Mailto-Link auf einer Webseite dem Thunderbird Shell-Befehle unterzujubeln. Soweit, so gut. Damit kann der Angreifer dann alles machen, was auf dem System lokal erlaubt ist - aber natürlich nichts, was nur root darf. Es sei denn, man surft als root, aber dann sollte man eigentlich Jacken tragen, die auf dem Rücken geschlossen werden.

Zugegeben, es bleiben ein paar häßliche Sachen übrig, die man auch als normaler User machen darf, z.B. rm -rf *, womit der Inhalt des aktuellen Verzeichnisses (das dürfte in der Regel das home-Verzeichnis des Users sein) vernichtet wird... aber für die richtig gemeinen Sachen bräuchte man root-Rechte. Siehe oben. Man könnte eventuell sogar Programme installieren, aber auch die nur lokal auf User-Ebene. Nichts Systemübergreifendes.

Insgesamt: Häßlich, aber nichts, was die Welt aus den Angeln hebt. Es gehört natürlich abgestellt... ein Würgaround wäre z.B., den Thunderbird unter einer eigenen Userkennung zu starten, die über sehr eingeschränkte Rechte verfügt. Für die ganz paranoiden unter uns...

MfG
Vimes

Hi Vimes,

danke für die Bestätigung, so sehe ich das auch. Natürlich gehört der Fehler gefixt, aber er ist mir nicht unbedingt ne schlaflose Nacht wert.

Zitat:

Es sei denn, man surft als root, aber dann sollte man eigentlich Jacken tragen, die auf dem Rücken geschlossen werden.

ACK. Es soll ja Leute geben, die einen Root mit Gewalt erzwingen wollen. Aber du hast Recht, üblich ist das nicht.

Zitat:

Zugegeben, es bleiben ein paar häßliche Sachen übrig, die man auch als normaler User machen darf, z.B. rm -rf *

Ist klar. Aber kann man damit Geld verdienen, dicken Enten aus Wuppertal /home/$xy zu löschen? Unwahrscheinlich.

Zitat:

Man könnte eventuell sogar Programme installieren, aber auch die nur lokal auf User-Ebene.

Eben. Und dann? Was bringt es? Telefonieren könnten IMO die Programme nicht.

Gemessen an dem, was man so üblicherweise bei der Konkurrenz mit Industriestandard liest sehe das Leck ziemlich gelassen.

@ dedie
Sorry, habe deinen Beitrag gerade erst gelesen.

Zitat:

Meint da noch wer im Ernst das Onu sich die mühe macht nicht als Root(für die XPler als Admin) ständig unterwegs zu sein

Ja, da bin ich mir völlig sicher. ONU braucht nämlich einige Verrenkungen und Sachkenntnis, z.B. unter Ubuntu überhaupt einen Root-Account einzurichten, mit dem er surfen kann. Ghostrider versucht sowas schon erfolglos seit Wochen.

@dedie:

Das allgemeine arbeiten und surfen als normaler Benutzer ist unter linux schmerzfrei möglich.
Daß es Typen geben mag, die ums Verrecken auch unter Linux als root arbeiten wollen/müssen, lasse ich mal dahingestellt sein - denen ist aber so oder so nicht mehr zu helfen. Die schrotten ihr System sowieso bei der ersten Gelegenheit, z.B. weil sie dd mal ausprobieren wollen und dann so was hier zaubern:

dd if=/dev/urandom of=/dev/hda (oder sda) [1]

Es gibt noch ca. 1 Million andere Wege, sich als root das System unbenutzbar zu machen, und User, die konsequent als root rumdusseln, werden die auch finden. Um solche Typen mache ich mir daher keine Sorgen, das ist nutzlos.

@Moby: YMMD.

Wobei es unter anderen Distributionen einfacher ist, als root unterwegs zu sein. Aber, wie jemand in einem meiner Lieblingsbücher ("Running Linux", 4. Ausgabe) schreibt: root ist ein Zauberstab. Wenn man etwas versaut, während man ihn hält, dann hat das meist wirklich tiefgreifende Folgen. Das obige kleine Beispiel sollte man jedenfalls als root nicht ausprobieren - außer, man hat wirklich viel Zeit oder ein Image im Schrank.

MfG
Vimes

[1] Das schreibt Zufallszahlen auf die Festplatte. Die gesamte. Dabei werden auch alle Partitionen vernichtet. Noch Fragen...?

@ Mobyduck

Ich kenne den unterschied zwischen Linuxdistris und Windows in bezug auf die Adminrechte zur genüge, eigentlich dachte ich ja auch nur rein theoretisch aber ich kenne(leider) einige spezies die diese Theorie in die Praxis umsetzen.

Mich würde ja mal interessieren, wie lange diese Spezies bei Linux bleibt.

Gerade, wenn man die Konsole benutzt... z.B. das hier:

rm -rf / home/vimes/muell

SOLLTE eigentlich den Ordner "muell" (nebst Inhalt) in meinem Home-Verzeichnis löschen.

Blöd nur, daß zwischen / und home ein Leerzeichen ist... bei mir würde mir das System sagen, daß ich nicht die nötigen Rechte habe und ich wüßte Bescheid, was passiert ist. Wer obiges als root eintippt, löscht damit / (die root-Partition) und macht damit sein System komplett platt...

Obiger Tippfehler kann einem sehr leicht passieren. Deswegen würde es mich wirklich interessieren, wie lange konsequente root-Arbeiter überhaupt existieren, bis ein Flüchtigkeitsfehler ihnen den garaus macht...

MfG
Vimes

@ dedie
Sorry,
Offenbar hast du doch nicht so ganz unrecht:
http://www.ubuntuusers.de/viewtopic.php?t=12643

So watt gibbet wirklich, ich glaub's nicht.