Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > de.comp.os.unix.linux.misc > #131745 > unrolled thread
| Started by | Matthias Gerds <m.gerds@posteo.de> |
|---|---|
| First post | 2023-06-21 19:41 +0200 |
| Last post | 2023-06-24 20:59 +0200 |
| Articles | 7 on this page of 67 — 17 participants |
Back to article view | Back to de.comp.os.unix.linux.misc
VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 19:41 +0200
Re: VLC Tim Ritberg <tim@server.invalid> - 2023-06-21 19:57 +0200
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 20:54 +0200
Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-21 21:47 +0200
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 23:46 +0200
Re: VLC Arno Welzel <usenet@arnowelzel.de> - 2023-06-24 12:04 +0200
Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-24 17:24 +0200
Re: VLC "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-06-24 20:54 +0200
Re: VLC Arno Welzel <usenet@arnowelzel.de> - 2023-06-25 12:17 +0200
Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-25 19:02 -0400
Re: VLC Hermann Riemann <nospam.ng@hermann-riemann.de> - 2023-06-24 17:56 +0200
Re: VLC Arno Welzel <usenet@arnowelzel.de> - 2023-06-25 12:18 +0200
Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-21 22:01 +0200
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 23:47 +0200
Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-22 19:45 +0200
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-23 09:31 +0200
Re: VLC Joerg Lorenz <hugybear@gmx.ch> - 2023-06-23 09:36 +0200
Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-23 09:43 +0200
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-23 12:02 +0200
Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-23 21:27 -0400
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-24 09:31 +0200
Re: VLC Wolfgang Bauer <wolfgang-bauer@mein.gmx> - 2023-06-24 10:55 +0200
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-24 17:50 +0200
Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-24 21:48 -0400
Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-21 22:18 +0200
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 23:47 +0200
Re: VLC Frank Miller <miller@posteo.ee> - 2023-06-21 22:44 +0200
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 23:48 +0200
Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-21 21:51 -0400
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-22 11:34 +0200
Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 11:56 +0200
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-22 12:12 +0200
Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 12:17 +0200
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-22 12:27 +0200
Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 12:39 +0200
Re: VLC Gerald E¡scher <Spamer@fahr-zur-Hoelle.org> - 2023-06-22 13:45 +0000
Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 16:08 +0200
Re: VLC Gerald E¡scher <Spamer@fahr-zur-Hoelle.org> - 2023-06-22 14:38 +0000
Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 18:26 +0200
Re: VLC "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-06-22 18:34 +0200
Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-22 15:56 -0400
Re: VLC Sieghard Schicktanz <Sieghard.Schicktanz@SchS.de> - 2023-06-22 22:37 +0200
Re: VLC "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-06-23 11:23 +0200
Re: VLC Christian Garbs <mitch@cgarbs.de> - 2023-06-22 14:45 +0000
Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-22 19:37 +0200
Re: VLC Gerald E¡scher <Spamer@fahr-zur-Hoelle.org> - 2023-06-22 18:38 +0000
Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-22 16:02 -0400
Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-22 15:51 -0400
Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-21 23:32 +0200
Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-21 21:03 +0200
Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-21 22:20 +0200
Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-21 23:16 +0200
Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 10:51 +0200
Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-22 12:00 +0200
Re: VLC Wolfgang Bauer <wolfgang-bauer@mein.gmx> - 2023-06-22 12:27 +0200
Re: VLC Ralph Angenendt <dein.name@strg-alt-entf.org> - 2023-06-22 09:03 +0000
Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-22 20:02 -0400
Re: VLC Patrick Rudin <taxi_bs@gmx.ch> - 2023-06-23 14:59 +0200
Re: VLC Christian Garbs <mitch@cgarbs.de> - 2023-07-09 18:55 +0000
Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-21 22:17 +0200
Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-21 21:48 -0400
Re: VLC Hermann Riemann <nospam.ng@hermann-riemann.de> - 2023-06-22 07:11 +0200
Re: VLC Joerg Lorenz <hugybear@gmx.ch> - 2023-06-22 09:08 +0200
Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-24 17:27 +0200
Re: VLC Arno Welzel <usenet@arnowelzel.de> - 2023-06-24 12:03 +0200
Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-24 17:35 +0200
Re: VLC "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-06-24 20:59 +0200
Page 4 of 4 — ← Prev page 1 2 3 [4]
| From | Andreas Kohlbach <ank@spamfence.net> |
|---|---|
| Date | 2023-06-21 21:48 -0400 |
| Message-ID | <87bkh8l11i.fsf@usenet.ankman.de> |
| In reply to | #131757 |
On Wed, 21 Jun 2023 22:17:37 +0200, Marco Moock wrote:
>
> Am 21.06.2023 um 19:41:23 Uhr schrieb Matthias Gerds:
>
>> Vorsicht vor dem VLC-Mediaplayer. Zumindest die älteren Versionen
>> sind durch Hacker unterwandert.
>
> |Die Angreifer nutzten anscheinend eine nicht geschlossene
> |Sicherheitslücke in einem Microsoft-Exchange-Server aus, um ihre
^^^^^^^^^^^^^^^^^^^^^^^^^
> |Malware zu verbreiten. Die Schadsoftware tarnten die Angreifer durch
> |den bekannten VLC Video Player. Die eigentliche VLC-Datei war
> |einwandfrei, doch sie nutzte eine bösartige DLL-Datei, um die Malware
^^^
> |einzuschleusen und gleichzeitig zu tarnen. Für die Fernsteuerung der
> |infizierten Rechner nutzten die Angreifer auch einen WinVNC-Server.
>
> Wo war da nun die Lücke im echten VLC?
Und wegen "Microsoft-Exchange-Server" und "DLL", in der Linux Version?
Ich las auch, dass es VLC mit Malware zum Herunterladen gibt. Da hatten
einige Hacker Google bezahlt, dass deren Link mit Malware als erstes
angezeigt wird, wenn man nach "download" "VLC" oder Ähnliches suchte. Dem
hat Google mittlerweile einen Riegel vorgeschoben.
Grundsätzlich sollten Linux User eh keine Software aus dem Netz laden und
installieren, wenn Linux sie selbst hat. Wie VLC. Dürfte wohl jede Distro
haben.
--
Andreas
[toc] | [prev] | [next] | [standalone]
| From | Hermann Riemann <nospam.ng@hermann-riemann.de> |
|---|---|
| Date | 2023-06-22 07:11 +0200 |
| Message-ID | <kfi3f8Fgn2mU4@mid.individual.net> |
| In reply to | #131783 |
Am 22.06.23 um 03:48 schrieb Andreas Kohlbach: > Grundsätzlich sollten Linux User eh keine Software aus dem Netz laden und > installieren, wenn Linux sie selbst hat. Wie VLC. Dürfte wohl jede Distro > haben. Und woher dann die Distributionen bekommen?
[toc] | [prev] | [next] | [standalone]
| From | Joerg Lorenz <hugybear@gmx.ch> |
|---|---|
| Date | 2023-06-22 09:08 +0200 |
| Message-ID | <u70s0o$37nki$2@dont-email.me> |
| In reply to | #131786 |
Am 22.06.23 um 07:11 schrieb Hermann Riemann: > Am 22.06.23 um 03:48 schrieb Andreas Kohlbach: > >> Grundsätzlich sollten Linux User eh keine Software aus dem Netz laden und >> installieren, wenn Linux sie selbst hat. Wie VLC. Dürfte wohl jede Distro >> haben. > > Und woher dann die Distributionen bekommen? Von den Anbieterseiten aus dem Internet? Aber nur von dort. -- Gutta cavat lapidem (Ovid)
[toc] | [prev] | [next] | [standalone]
| From | Marcel Mueller <news.5.maazl@spamgourmet.org> |
|---|---|
| Date | 2023-06-24 17:27 +0200 |
| Message-ID | <u7721m$1ot4c$3@gwaiyur.mb-net.net> |
| In reply to | #131786 |
Am 22.06.23 um 07:11 schrieb Hermann Riemann: > Am 22.06.23 um 03:48 schrieb Andreas Kohlbach: > >> Grundsätzlich sollten Linux User eh keine Software aus dem Netz laden und >> installieren, wenn Linux sie selbst hat. Wie VLC. Dürfte wohl jede Distro >> haben. > > Und woher dann die Distributionen bekommen? Aus dem Repository der Distro, das mit Krypto-Signaturen gesichert ist. Nur den Installer muss man einmal heruntergeladen haben. Da gibt es dann einen MD5-Hash, den man vorher prüfen kann. Marcel
[toc] | [prev] | [next] | [standalone]
| From | Arno Welzel <usenet@arnowelzel.de> |
|---|---|
| Date | 2023-06-24 12:03 +0200 |
| Message-ID | <kfntb4FdejkU25@mid.individual.net> |
| In reply to | #131745 |
Matthias Gerds, 2023-06-21 19:41: > Vorsicht vor dem VLC-Mediaplayer. Zumindest die älteren Versionen sind > durch Hacker unterwandert. > Beim Versuch, eine DVD abzuspielen, ist bei mir der ganze Desktop > abgestürzt zurück auf Login. Und jetzt startet das ganze System nicht > mehr (Kernel panic). Möglicherweise ist das bei neueren Versionen > bereinigt. Bei meiner war das offenbar nicht der Fall. Vielleicht ist > aber auch ein ganz anderer Fehler der Grund für den Absturz. > > Die Meldungen sind zwar schon 1 Jahr alt, aber die VLC-Version vom > Debian-11-Repository wohl auch. > > https://www.pcwelt.de/article/1203396/hacker-nutzen-vlc-media-player-als-malware-schleuder.html Zitat: "Die Angreifer nutzten anscheinend eine nicht geschlossene Sicherheitslücke in einem Microsoft-Exchange-Server aus, um ihre Malware zu verbreiten. Die Schadsoftware tarnten die Angreifer durch den bekannten VLC Video Player. Die eigentliche VLC-Datei war einwandfrei, doch sie nutzte eine bösartige DLL-Datei, um die Malware einzuschleusen und gleichzeitig zu tarnen. Für die Fernsteuerung der infizierten Rechner nutzten die Angreifer auch einen WinVNC-Server." So viel Text für so wenig Erklärung. Was genau wurde denn jetzt gemacht? Das übliche Problem der DLL-Injection? > Gibt's evtl. andere/neuere Erkenntnisse? Nein, DLL-Injection geht immer. So funktioniert Windows nunmal. Technisch: Anwendungen laden DLLs mit Angabe des Namens, z.B. "msvcr110.dll". Wenn die DLL nicht im Verzeichnis der Anwendung selbst vorhanden ist, prüft Windows alle Ordner, die in PATH angegeben sind, um die DLL zu finden. Problem: 1) Ein Angreifer kann eine DLL im Anwendungsverzeichnis ablegen, die *statt* der richtigen DLL im Window-Systemverzeichnis benutzt wird 2) Ein Angreifer kann eine DLL in einem der Pfade in PATH ablegen, dann dann geladen wird, bevor die richtige DLL verwendet wird. Abhilfe ginge nur, wenn die Entwickler von Software, wie VLC, DLLs nicht ohne Pfadangabe laden sondern den Pfad immer absolut angeben - z.B. wenn es System-DLLs sind, immer den Pfad zu dem Ordner, wo diese normalerweise liegen und den man auch unter Windows ermitteln kann. -- Arno Welzel https://arnowelzel.de
[toc] | [prev] | [next] | [standalone]
| From | Marcel Mueller <news.5.maazl@spamgourmet.org> |
|---|---|
| Date | 2023-06-24 17:35 +0200 |
| Message-ID | <u772gc$1ot4c$4@gwaiyur.mb-net.net> |
| In reply to | #131938 |
Am 24.06.23 um 12:03 schrieb Arno Welzel: >> Gibt's evtl. andere/neuere Erkenntnisse? > > Nein, DLL-Injection geht immer. So funktioniert Windows nunmal. AFAIK gibt es schon recht lange Abhilfe, die aber vom Programm aktiv genutzt werden muss. > Technisch: > > Anwendungen laden DLLs mit Angabe des Namens, z.B. "msvcr110.dll". > > Wenn die DLL nicht im Verzeichnis der Anwendung selbst vorhanden ist, > prüft Windows alle Ordner, die in PATH angegeben sind, um die DLL zu finden. > > Problem: > > 1) Ein Angreifer kann eine DLL im Anwendungsverzeichnis ablegen, die > *statt* der richtigen DLL im Window-Systemverzeichnis benutzt wird Dazu braucht es i.d.R. Admin-Rechte. Ausnahme: Portable-Installationen im User-Verzeichnis oder auf ext. Datenträger. > 2) Ein Angreifer kann eine DLL in einem der Pfade in PATH ablegen, dann > dann geladen wird, bevor die richtige DLL verwendet wird. Dazu meistens auch. Aber es gibt auch noch: 3) Ein Angreifer legt die DLL ins Verzeichnis mit der Videodatei. Wenn der Player daraus per Doppelklick startet kann es passieren, dass das Verzeichnis als aktuelles Verzeichnis übernommen wird. In dem Fall braucht es keine Admin-Rechte. > Abhilfe ginge nur, wenn die Entwickler von Software, wie VLC, DLLs nicht > ohne Pfadangabe laden sondern den Pfad immer absolut angeben - z.B. wenn > es System-DLLs sind, immer den Pfad zu dem Ordner, wo diese > normalerweise liegen und den man auch unter Windows ermitteln kann. Das geht nur, wenn man die DLL explizit lädt. Üblicherweise werden aber die allermeisten vom Exe-Loader als Dependencies automatisch geladen. Da gibt es aber auch ein paar Optionen. Marcel
[toc] | [prev] | [next] | [standalone]
| From | "Peter J. Holzer" <hjp-usenet3@hjp.at> |
|---|---|
| Date | 2023-06-24 20:59 +0200 |
| Message-ID | <slrnu9ef8h.v9he.hjp-usenet3@trintignant.hjp.at> |
| In reply to | #131984 |
On 2023-06-24 15:35, Marcel Mueller <news.5.maazl@spamgourmet.org> wrote:
> Am 24.06.23 um 12:03 schrieb Arno Welzel:
>> Technisch:
>>
>> Anwendungen laden DLLs mit Angabe des Namens, z.B. "msvcr110.dll".
>>
>> Wenn die DLL nicht im Verzeichnis der Anwendung selbst vorhanden ist,
>> prüft Windows alle Ordner, die in PATH angegeben sind, um die DLL zu finden.
>>
>> Problem:
>>
>> 1) Ein Angreifer kann eine DLL im Anwendungsverzeichnis ablegen, die
>> *statt* der richtigen DLL im Window-Systemverzeichnis benutzt wird
>
> Dazu braucht es i.d.R. Admin-Rechte.
Das braucht man auch für die Installation des Programms, und da die DLL
mit dem Programm mitgeliefert wurde, hat der Installer natürlich für
beide Files die gleichen Rechte.
(Ich bin unentschieden, ob das Auslagern des Schadcodes in eine DLL
schlau oder dumm war: Einerseits ist das EXE-File unverändert,
andererseits liegt da ganz offensichtlich eine DLL herum, die dort nicht
hingehört)
hp
[toc] | [prev] | [standalone]
Page 4 of 4 — ← Prev page 1 2 3 [4]
Back to top | Article view | de.comp.os.unix.linux.misc
csiph-web