Go auf OSX: Sicherheitslücke erlaubt Auführung von schädlichem Code

In einem kürzlich veröffentlichten Update für Go (Golang) wurde eine bedeutende Sicherheitslücke behoben, die Systeme unter Darwin (macOS) betrifft. Die Schwachstelle CVE-2024-24787, ermöglicht es Angreifern, potenziell schädlichen Code auszuführen, indem sie eine manipulierte LTO-Bibliothek während des Build-Prozesses eines Go-Moduls mit CGO einbinden. Das Problem wurde durch die Verwendung des -lto_library-Flags in den CGO LDFLAGS ausgelöst, was vom Apple-Linker akzeptiert und ausgeführt wird.

Dieses Problem wurde erstmals von Juho Forsén von Mattermost gemeldet und betrifft die Go-Versionen vor go1.21.10 und von go1.22.0-0 vor go1.22.3. Der Missbrauch dieses Flags konnte dazu führen, dass während des Build-Prozesses von Go Code unbefugt ausgeführt wird, was ein erhebliches Sicherheitsrisiko darstellt. Insbesondere weil diese Schwachstelle es ermöglicht, dass der Linker während des Build-Prozesses willkürlich externen Code ausführt, wurde sie als kritisch eingestuft.

Um das Risiko zu mitigieren, wurde ein spezifischer Check für ausgeschlossene Flags implementiert, die sonst unsere bestehenden Sicherheitschecks passieren würden. Die Entwickler von Go empfehlen dringend, auf die neuesten gepatchten Versionen zu aktualisieren, um dieses Problem zu beheben.

Darüber hinaus hat das Go-Team darauf hingewiesen, dass keine Workarounds (wie die Deaktivierung bestimmter Compiler-Flags) existieren und dass die sicherste Maßnahme die Aktualisierung auf eine der neuesten Versionen ist.

Da uns noch kein CVSS Vektor bekannt ist, schätzen wir, dass es sich um eine Lücke vom Typ CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H handelt, was ungefähr einen CVS Score von 9.2 / 10 entspricht.

Related Posts

Apache Guacamole Schwachstelle durch Java und C Unicode Unterschiede

Sonarsource.com berichtet über kritische Sicherheitslücken im beliebten Remote-Desktop-Gateway Apache Guacamole, die auf das schlechte Zusammenspiel der Zeichenkodierung von Java mit anderen Programmiersprachen zurückzuführen sind. Diese Schwachstellen CVE-2023-30575 und CVE-2023-30576 ermögliche es Angreifern mit geringen Benutzerrechten ermöglicht, durch Angriffe auf die externe Web-Oberfläche Remote-Code auf dem Guacamole-Server auszuführen.

Read More

PDF.js Sicherheitslücke ermöglicht Ausführung von willkürlichem Code

Eine kritische Sicherheitslücke in Mozilla PDF.js, einer in Mozilla Firefox integrierten und auch in anderen Webbrowsern verwendbaren PDF-Anzeigesoftware, könnte Angreifern ermöglichen, willkürlichen Code auszuführen. Die Schwachstelle, bekannt unter den CVE-IDs CVE-2024-4367 und CVE-2024-34342 (react-pdf), betrifft alle Versionen bis einschließlich 4.1.392 bzw. 7.7.3 and 8.0.2 bei react-pdf.

Read More

LockBit 3.0: angeblicher Angriff auf Deutsche Telekom

Die Deutsche Telekom ist einem Bericht auf Twitter zufolge vermutlich Opfer eines Cyberangriffs der Ransomware-Gruppe LockBit 3.0 geworden. Der Post wurde am Morgen des 7. Mai 2024 öffentlich gemacht. Die Angreifer haben ein Lösegeld festgesetzt, das bis zum 21. Mai 2024 gezahlt werden soll, um die verschlüsselten Daten wieder freizugeben. Die genauen Details des Angriffs und das Ausmaß des Schadens sind noch nicht vollständig bekannt. Die Gruppe LockBit 3.0 gilt eigentlich als zerschlagen, auch gab es nach aktuellem Stand keine Bestätigung seitens Telekom, ob es tatsächlich zu einem Vorfall kam.

Read More