Durch eine Speicherfehlfunktion in der Bibliothek libcue gelangt eine Sicherheitslücke in den Gnome-Desktop, die sich unter Umständen remote ausnutzen lässt.

Das Security-Problem (CVE-2023-43641) haben die Github Security Labs öffentlich gemacht und sich dabei mit Ilya Lipnitskiy, dem Betreuer von libcue und der Distros-Mailingliste abgestimmt. Den Experten ist es gelungen, einen Proof-of-Concept für Ubuntu und Fedora zu erstellen.

Die Bibliothek libcue dürfte den meisten Anwendern unbekannt sein, vermuten die Experten bei den Github Security Labs. Die Bibliothek dient zum Parsen von Cue Sheets, einem Metadatenformat zur Beschreibung des Layouts der Tracks auf einer CD. Cue Sheets werden oft in Kombination mit dem FLAC-Audiodateiformat verwendet, was bedeutet, dass libcue eine Abhängigkeit von einigen Audioplayern wie Audacious ist, berichten die Experten. Der Grund, warum man libcue auf Sicherheitslücken geprüft habe, sei, dass Tracker-Miners es verwende, eine Anwendung, die in Gnome enthalten sei. Zweck von Tracker-Miners sei es, die Dateien im Home-Verzeichnis zu indizieren, um sie leicht durchsuchbar zu machen.

Der Index werde automatisch aktualisiert, wenn der Nutzer eine Datei in bestimmten Unterverzeichnissen Ihres Home-Verzeichnisses hinzufüge oder ändere, insbesondere in /Downloads. Dies bedeute kurz gesagt, dass ein Klick auf einen bösartigen Link einem Angreifer genüge, um CVE-2023-43641 auszunutzen und Code auf dem Computer ausführen zu können.

Nutzer von Gnome sollten ein Update machen. Es stehen aktualisierte Versionen etwa für Ubuntu und Debian bereit. Im Beitrag der Experten sind weitere Details zu finden und es gibt ein Video zum Proof-of-Concept.