Gefährlicher Installer für Samsung-Druckertreiber

- 20. Juli 2007

Die Software, die Samsung zur Verwaltung seiner Linux-Druckertreiber anbietet, enthält eine Reihe von Fehlern, die die Systemsicherheit nachhaltig gefährden.

Samsungs Unified Linux Driver datiert vom 25. April 2007 und kann von der Website von Samsung heruntergeladen werden und ist auch auf den Installationsmedien enthalten, die mit den Geräten geliefert werden. Das Tar-Archiv enthält eine Reihe von Shellscripten und Binaries, die den Installationsvorgang unterstützen. Die Installationsroutine lässt sich nur als Benutzer Root durchführen, andernfalls bricht sie ab. Während der Installation führt sie tiefgreifende Änderungen am System durch, über die sich die wenigsten Linux-Administratoren freuen werden: Beispielsweise werden unter Umgehung des Package-Managements einige Bibliotheken installiert.

Am schwersten dürfte jedoch die Änderung von Zugriffsrechten verschiedener Programme wiegen: Die Installationsroutine vergibt unter anderem Suid-Flags für Ghostscript, Xsane und Open Office. Das Ergebnis sind Anwendungen, die mit Root-Rechten laufen. Damit könnte jeder Benutzer, der einen Account auf dem System besitzt, beispielsweise Open Office nutzen, um in Systemdateien wie “/etc/passwd” neue Benutzer mit erweiterten Rechten anzulegen.

Da kein Sourcecode zum Installer vorliegt, lassen sich weitere problematische Änderungen in der Konfiguration nicht ausschließen. Betroffen sollten mindestens die Suid-Flags der genannten Binaries wieder entfernen, besser wäre jedoch eine komplette Neuinstallation der Programme.

Auf Anfrage von Linux-Magazin Online teilte Samsung mit, das Problem sei bereits bekannt und kündigte noch für heute eine Aktualisierung des Installers an.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen