Dafür wird von Snap eine Umgebung mit Laufzeitbibliotheken und Separierungsschichten bereitgestellt, um einen Schaden durch solche Softwarepakete zu verhindern. Angreifer könnten aus den Rechteeinschränkungen von Snap ausbrechen (CVE-2021-4120, CVSS 8.2, Risiko hoch). Zudem könnten sie an Root-Rechte gelangen, indem sie einen Hardlink von der ausführbaren Datei snap-confine auf eine beliebige Binärdatei anlegen, da der Snap-Dienst nicht korrekt prüft, von wo diese Datei gestartet wird (CVE-2021-44730, CVSS 7.8, hoch). Eine gleiche Konsequenz war durch die sogenannte Race-Condition in snap-confine realisierbar, wenn Cyberkriminelle beim Vorbereiten eines privaten Mount Namespace durch Snap ihre eigenen Inhalte dort eingebunden haben (CVE-2021-44731, CVSS 7.8, hoch).
Die Fehler sind in Snap vor der aktuellen Version 2.54.3 aufgetaucht. In einem Security-Advisory die neuen Pakete für die unterschiedlichen Distributions-Versionen aufgelistet. Schnell herunterladen und installieren: Aufgrund des Angebots von vielen anderen Distributionen, müssen Linux-Nutzer mit ihrer Paketverwaltung nach Aktualisierungen der Software suchen.
Quelle: heise online Redaktion
Weitere Informationen zum Thema Sicherheit im Internet finden Sie hier.
