yczgh 2018-10-03
安全研究员Enrico Weigelt发现了Skype在Debian Linux机器上安装的关键安全问题,在系统的sources.list文件中添加其Microsoft的APT存储库。
Skype的Debian软件包使用APT配置配置文件,该配置文件自动将Microsoft的apt存储库插入到默认的系统软件包源中,允许任何有权访问它的人使用恶意工具来破坏计算机。
通俗地说,APT存储库是.deb软件包的集合,用作所有基于Debian的Linux机器的中央存储,管理和交付平台。
APT存储库可以在apt-get命令的帮助下用于在Debian机器上安装,删除或更新应用程序。
在获得对Microsoft的Debian apt存储库的控制权之后,攻击者将能够使用更新系统在各种发行版软件包中注入恶意内容,以及用恶意制作的软件包替换合法软件包。
微软或能够访问其存储库私钥的第三方可以完全控制安装Skype的任何Debian机器
更糟糕的是,正如Canonical的Seth Arnold在Full Disclosure邮件列表中所指出的那样,因为Debian软件包的安装和卸载脚本使用完全root权限运行,如果攻击者知道他们在做什么,他们可以完全接管受影响的Debian计算机。
Weigelt为Microsoft提供了一个缓解解决方案,用于解决Skype Deiban软件包中的安全问题,即从.deb软件包中删除apt配置文件。
安装Skype后,用户还可以采取一些措施来保护他们的计算机免受攻击。
作为第一步,您可以删除Skype在Linux机器上安装后添加的源/列表条目,您可以手动解压缩并重新打包它,以确保Microsoft的apt存储库不会首先附加到sources.list 。
您还可以在受限容器中安装Skype,以限制使用Linux容器(LXC)的内核级隔离可以造成的损害。
“不受信任的软件包始终存在很大的安全风险 - 严重的安全风险不应安装在任何与安全相关的系统上,”Weigelt表示 “最好的选择,是一个精心隔离的容器(例如lxc或docker) - 不要让它访问你的私人数据,并确保你切断它的麦克风访问时,实际上没有Skype通话。”
Weigelt发现的漏洞首先被添加到CXSECURITY漏洞数据库,然后添加到Full Disclosure邮件列表中,并且它还没有常见漏洞和披露(CVE)标识号。