Proponha uma correção, faça uma sugestão
Linux tem mais uma falha grave de segurança
Se há sistemas operativos que são tidos como seguros o Linux é um deles. A sua estrutura e a forma como foi desenhado tem por base uma ideologia de permissões que garantem essa segurança.
Mas como qualquer outro sistema operativo, o Linux também tem vulnerabilidades. A mais recente afecta a maioria das distribuições e requer apenas um ficheiro de música para poder ser explorada.
O Linux tem estado a apresentar nos últimos tempos vulnerabilidades graves e que colocam em causa a segurança dos sistemas e os dados dos seus utilizadores. Resultam de falhas que demoram anos a ser descobertas e que agora estão a surgir.
A mais recente falha foi descoberta por Chris Evans, um investigador de segurança e sabe-se que afecta a quase totalidade das distribuições que estão disponíveis para instalação, incluindo as mais recentes como o Fedora 25 ou o Ubuntu 16.04 LTS.
Segundo que é descrito, a falha está numa biblioteca áudio, a Game Music Emu, que permite a emulação de áudio de consolas como a SNES. Ao ser explorada, e para isso basta um ficheiro com código malicioso, o atacante consegue correr qualquer código que queira, expondo o sistema e os dados do utilizador.
Para complicar ainda mais, para poder ser explorada a falha existe uma particularidade. Basta que o Chrome esteja instalado no sistema para que este esteja vulnerável.
Para propagar este ficheiro malicioso, basta alterar-lhe o nome para .flac ou .mp3 e deixá-lo disponível para download. Assim que este for executado o código malicioso entra em acção e depende apenas do atacante.
A falha está identificada por Chris Evans e resulta na falta de segurança com que este tipo de ficheiros é tratado. Ao contrário do que é normal não correm dentro de uma sandbox para ser isolado do sistema.
Deverá em breve ser lançada uma actualização que resolverá esta falha grave. Esta não é apenas uma prova teórica de uma falha que pode vir a ser explorada. Ela é real e pode facilmente ser usada para atacar estes sistemas.
Com esta falha surge mais uma prova de que não existem sistemas totalmente seguros e que o Linux, tal como os restantes sistemas, está exposto e tem problemas de segurança.
via: Chris Evans
Este artigo tem mais de um ano
Loading ...
“a falha está numa biblioteca áudio Game Music Emu”, E eu já recebi a atualização contra essa falha desde ontem aqui!!!
E então?
O que se retira deste artigo é que qq sistema pode ter falhas. Não esta falha especifica.
Coisa que abala a reputação do Linux….
Falha sempre aparece, más se for resolvida não acumula e não se torna um sistema totalmente vulnerável. A velocidade na correção das falhas e a importância que dada nesse fator é mais importante. O Windows é um sistema comercial, mas quem merecia receber os jogos e toda atenção é o Linux, por ser um sistema muito melhor, mais rápido e usar um kernel que está a anos luz do kernel do Windows.
Já instalei várias distros,e posso dizer que minha preferida é sem dúvida Arch Linux, mas infelizmente ao ler estas notícias tenho pena de não levarem mais a sério a questão da segurança….o mito de não ser necessário antivírus em sistemas Linux, quanto a mim contribuiu para a demora da deteçãode de todas as falhas que têm estado a ser notícia ultimamente…em Arch uso o sophos, em Ubuntu e Mint também, e não noto grande impacto no desempenho dos sistemas operativos… o que surpreende mais é o facto do ppl da Red Hat ou do OpenSuse não ter descoberto isto há mais tempo….
Antivírus é provavelmente um dos maiores “cancros” (se me permitem a expressão) que um computador pode ter!
Qual foi mesmo a última distro Linux que experimentou? RedHat 1.0 em 1993?
ele deve ir a net num spectrum xD. Enfim. A falha descrita é algo muito especifico e requer ACESSO FISICO a maquina e possibilidade de login. Bem como um conjunto de conjunto de componentes aplicados(CHROME instalado).
Atenção pessoal que quer saber de computedores, preguntem aqui ao JFK! Já agora deves meter pelo menos 3 anti-virus de marcas diferentes porque há marcas que fazem virus e as outras apanham.
Pelo que li só acontece com uma interface gráfica instalada correcto?
Obrigado
Não, é uma falha a nível dos plugins e do framework, não tem a ver com o facto de utilizares uma interface gráfica… apenas mencionaram a interface no artigo de forma irónica…
The NES Sound Format is a music file standard that packages Nintendo game music for playback. It contains a scripting language, and it is this that is used to trigger the vulnerability. When you open an NSF file on the affected Ubuntu system it finds its way via your music player and the gstreamer multimedia framework to libgstnsf.so, a gstreamer plugin for playing NSF files.
And the winner is…….. és o maior…. podem encerrar os comentários, já temos um vencedor…
+1 🙂
Os geeks não preferem macos….
É… parece que há pouco tempo fizeram uma pequena reunião chamada web summit e estiveram na aldeia de lisboa 3 dias… foram só 100.000 geeks de elite…
Mais um “titalo” bombástico para muito pouco sumo. Para ser possível o ataque tem de se estar de calças vermelhas, casaco azul, ser terça-feira e basta ter um copo com água morna… enfim, mais do mesmo.
Como em qualquer sistema operativo. O problema está no utilizador.
Cuidado então que pode ser já esta semana que a conjugação de factores aconteça e seja a tua vez de provar o amargo sabor de ter o computador comprometido…
Ainda assim, a segurança do Linux é mais relevante na área dos servidores, onde não faz sentido terem o chrome instalado (nem interface gráfica por assim dizer).
Calma, segurança é necessária em qualquer nível de utilizadores. A ideia é mesmo actualizar, coisa que muita gente ainda não fez.
Não disseste nada, pena, poderias ter produzido um comentário útil.
De facto a biblioteca vem com a distribuição, faz parte do Linux sim, pese o facto de ser proprietária.
The NES Sound Format is a music file standard that packages Nintendo game music for playback. It contains a scripting language, and it is this that is used to trigger the vulnerability. When you open an NSF file on the affected Ubuntu system it finds its way via your music player and the gstreamer multimedia framework to libgstnsf.so, a gstreamer plugin for playing NSF files.
Não te vou insultar porque a tua ignorância já é o maior insulto a ti próprio,
O linux é um sistema muito bom, evoluído e seguro, todos os sistemas têm falhas, hoje em dia o linux é cada vez mais utilizado, e como falas em jogos referencio aqui o SteamOS.
É claro que os utilizadores linux são uma minoria mais isso não quer dizer que o sistema seja inferior!
Tens a certeza disso?
LOL
Claro que dá “dd tool”. cria-se uma pen “bootável” e copia-se o isso lá para dentro. Após algumas criadas já se sabe os comandos de cor e salteado. Se bem que na maioria dos casos é desnecessário uma vez que na maioria dos casos instala-se linux num pc já com windows ( e isso a propria distribuição, seja qual for, faz tudo com a maior das facilidades) ou como sistema operativo único.
Descaracterizar um sistema operativo porque não tem uma aplicação para a instalação de um outro é de mau intimo uma vez que o proprio windows tem uma ferramenta para criar uma imagem do sistema já instalado e também na maioria dos casos se recorre a apps de terceiros ou então a uma da microsoft que não vem de origem, para criar uma imagem limpa do mesmo.
Há muita coisa de maior importancia que falta ao linux em relação ao windows. Pegar neste caso em concreto não é motivo sequer. Peguem em falta de drivers de perifericos ou em falta de qualidade de muitos dos que estão disponiveis, aí sim há conteúdo para debate sério.
Em windows também não há uma ferramenta nativa para criar uma imagem .iso de Linux e não é por isso que também o vamos descaracterizar 😉
Noob detected. Sem mais delongas.
Mas que belo contra-argumento. A lógica de facto não faz parte do teu cérebro: mandar postas de pescada velha é que é!
Que ignorância!
/facepalm x9000
O Linux merecia receber os jogos ao invés do Windows. É um sistema muito mais estável, com um kernel bem melhor não tem nem comparação é realmente se preocupa em corrigir toda e qualquer falha quando encontrada. Ou seja, um sistema sério, digno.
O Windows por sua vez não passa de um sistema comercial cheio de problemas que eles não conseguem resolver. Prova disso é que até hoje eventualmente quando se usa um jogo no um segundo HD no Windows ele ainda dá tela azul, problema esse que existe desde a atualização de aniversário e até hoje não foi totalmente resolvido.
Então sei lá, eu tô de saco cheio do Windows tem dia que eu não aguento e gostaria muito que o mercado mudasse e abandonasse essa plataforma falida.
Tenta esse: Etcher
https://github.com/resin-io/etcher
A falha não é do Linux, “a falha está numa biblioteca áudio Game Music Emu” e “Basta que o Chrome esteja instalado no sistema para que este esteja vulnerável.”
e o que é que isso tem a ver com o que eu disse?
ainda te dás ao trabalho de responder ao troll 😀
Tenho namorada e uso linux. Não sei qual é o teu problema com o linux.
Praticamente quase todos os sistemas que tu não vês desde o serviço de TV, mails, SMS, GPS, e outras coisas que nem te passa pela cabeça, correm sobre kernel Linux. Não existe nada melhor que isso… é impossível.
Uso mac no dia a dia, windows no trabalho porque só se usa windows infelizmente, e linux para praticamente o resto (servidores, programação de services, web server,…).
Auditoria de segurança também o faço com linux.
Enfim, ignorancia mata colega.
Então essa biblioteca não faz parte da instalação da distro Linux? Olha que é…
Eu por exemplo, já basta de chatices com os pcs no trabalho, em casa todos (incluindo os pais > 60 anos) só usam linux, para eles seja windows ou linux o facebook tem sempre o mesmo aspeto, para mim o steam já tem jogos suficientes. Quando se fala em linux as pessoas pensam sempre nos “codigos” porque nos tutoriais e no fóruns é bem mais simples dizer a um novato para copiar um comando do que explicar os 20-30 clicks necessários para resolver o problema, é também uma forma uniforme de resolver a questão, tenta lá explicar a um leigo como atualizar o windows, vais começar por perguntar que versão de windows tens, depois tens de te lembrar de onde é que a ms escondeu a opção porque todas versões são diferentes e depois tens de perder tempo para a frente e para traz com a pessoa porque a janela tem 4-5 links e por algum motivo ela não consegue encontrar o correto, mesmo estado à frente da cara. Em linux, corre este comando, resolvido.
PS: e sim tens menus e opções para clicar, não é necessário saber os comandos
Mas quem é que tem Linux instalado e usa Chrome? Really?
Eu tenho Manjaro com a raposa e até consigo ver netflix com silverlight…coisa que por aqui dizem ser impossivel… Oh Well. Para mim não à melhor que Manjaro. Jogos tenho uma PS4 ligada ao monitor do PC… quando quero jogar é só alterar a source et voilá estou a jogar sem problemas nenhuns. Já trabalho assim à dois anos e não penso voltar atrás tão cedo. Na realidade acho que o pessoal não gosta de ter trabalho e é compreensível que assim seja. Mas vejo criticas que de facto só demonstram ignorância
Se não sabe do que fala… Informe-se : pipelight et voila silverlight a funcionar… Já devia estar habituado a este tipo de comentários na pplware… Mas custa
é tão mau, tão mau que os pc de rendering de filmes de animação e de efeitos especiais, são em linux. Cada um usa o que quer, se achar que tem as ferramentas correctas para efectuar o seu trabalho. Gajos como tu, são apenas putos que falam falam falam…
quer que lhe faça um video a usar netflix em linux? ou não é preciso?
Mais uma vez, tens mesmo a certeza do que falas??
Mas são esses malucos que te dão cabo da vida toda em segundos… Afinal o que me dás a entender, visto que uso um sistema linux todos os dias, é que para além de não saberes 1/3 das capacidades de qualquer SO em linux, “ainda és o menino querido da maçazinha!”
Mesmo assim o Linux continua sendo o Sistema Operativo mais seguro. Que nao há um SO 100% seguro é claro mas ao contrario de outros SO os programadores do Linux fazem tudo para corrigir os bugs o mais rapido possivel 🙂
Vai ver se está a chover na Tailândia e anda-nos dizer….
O que menos falta é software! Tens alternativas muito válidas ao Office, ao Photoshop, ao Illustrator, ao Premiere, ao AutoCAD… Enfim quando se quer falar por falar…..
Não sejas Balmer
Sem dúvida que sim.
Sou muito grato ao Lotus 123, DOS e todas as versões do Windows, tenho 65 anos, sou um Contador, usuário comum, e desde que conheci o Linux Ubuntu, não o troco mais por nenhum sistema.
o que é macOS ?
Não rapaz… o Daniel comprou a maquina dele de 200€ a pronto! A tua mãe é que está a pagar o teu mac ás prestações porque és burro demais para usares algo que te puxe por esse cérebro nulo!
Isso é para rir? Instala um site carregado de banners, plugins e posts com mais de 30GB num servidor com Xampp ou Wamp e faz um teste contra um site hospedado num servidor Linux (Ubuntu, Debian) com Nginx e vamos la ver quem ganha em termos de performance, CPU e claro como não poderia faltar a nível de tempo na execução de pedidos.
E já se vê se Windows é assim tão bom para Servidores e Hospedagem e depois logo dizes se ” linux só para malucos” ou se é ao contrário ” Windows só para malucos que gostam de ter os sites lentos e mal otimizados”
“geeks sao um nicho de mercado..normalmente um grupo com problemas sociais e postos de parte”
For the lulz, tens alguma prova disso? Se assim fosse coitada da Pplware, da PTISP, PTServidor e mais meio bilhão de hostings providers que utilizam Linux como sistema operativo para VPS e Dedicados, onde quase todos aconselham Linux pela sua segurança e robustez a nível de performance, segurança e otimização do web server.
Tem calma, não te ponhas nervoso fanboy eu também utilizo Windows para homework, se fosse para ser um Hosting Provider a minha escolhia iria para Linux muito certamente lol.
Uma coisa não tem nada a ver com a outra, já agora o que têm os geeks a ver com Linux? Absolutamente nada, se assim fosse coitado do Windows, Minecraft, League of Legends, CS GO always on your forehead anti-social 🙂
And the winner is: ….. Windows! Oh no! It won’t happen sorry buddy! Linux is the winner.
Parabéns ao ignorante
Será??? pensem bem…
Faz uma pergunta a ti próprio: Porque é que a Microsoft se dá ao trabalho de incluir a bash do linux no Windows? Será por acaso?
Segurança é virtual, se um S.O. é muito utilizado, logo, têm mais utilizadores a tentar quebrar a sua segurança daí haver uma menor segurança no windows, o caso do Linux devido a haver menos utilizadores a segurança é maior, mas as vulnerabilidades estão lá, só que são conhecidas por menos utilizadores é só isso.
O que é importante é descobrir as existentes e corrigi-las o mais breve possível independente do S.O.
Depois de sairem varios linux distros veem com a mesma noticias de sempre: descoberta de bugs, novidades, “atão” e os macs windows androids tb não tem carradas …enfim vamos assustar meninos de coro!!
https://media.licdn.com/mpr/mpr/p/2/005/078/212/3c36c7f.jpg
É óptimo que Linux exista e que crie uma alternativa aos SO pagos. Em todo o caso o Linux apesar de dar para fazer já muito nao está (nem de perto…) ao nível do Windows / MacOS.
Para quem principalmente usa net, Office e Software com versoes maduras para Linux (emuladores, algum Software empresarial, etc) o Linux chega bem: é gratuito, leve e se reconhecer o Hardware é perfeito. Para quem faz “tudo” no PC necessita de algo superior e daí Win10/MacOS mas aí é necessário artilhar com anti-vírus visto serem “O” alvo.
Hoje em dia com a Russia, CIA e China a apostar no hacks nenhum SO está fora de perigo, e andarem a fazer figuras de simplórios a Defender X ou Y nao traz nada porque qualquer um que tenham tem mais buracos que queijo e estas entidades encontram-nos.
Este jfk ainda é mais completo do que o artigo.
Esta noticia já tem pelo menos um mês…. E a falha não é do linux, é de um plugin do leitor de audio, que emula um chip processador da NES (6508 da década de 70) e é o emulador que executa o código que dá acesso à máquina.
The NES Sound Format is a music file standard that packages Nintendo game music for playback. It contains a scripting language, and it is this that is used to trigger the vulnerability. When you open an NSF file on the affected Ubuntu system it finds its way via your music player and the gstreamer multimedia framework to libgstnsf.so, a gstreamer plugin for playing NSF files.
Mesmo com um mês mão deixa de ser obrigatório, quem ainda não actualizou, actualizar. Por isso a notícia existe.
Procurem por “A Linux Exploit That Uses 6502 Code” e vão ter mais informação sobre este assunto …
Eu uso como consumidor final, minha esposa e tantos outros.
São opiniões… Aceitam-se mas não quer dizer que estejam corretas… No meio de tanto software certamente haverá um que faça o mesmo ou melhor. O problema existe quando não queremos (ou será sabemos?) usar mais nada.
MacOS tinha problema de segurança na própria OS Store.
A diferença do Linux é que eles.corrigem as falhas de segurança, e corrigem rápido, não é como a Microsoft, que recentemente até forçou a Google a expor uma falha por causa dá demora na resolução.
O Linux é mais rápido pra consertar falhas que a Apple tb.
A única falha do Linux é que não é um sistema que as desenvolvedoras dão o devido valor, mas logo isso vai mudar, as telas azuis e o desempenho ruim e os vírus do Windows já tá irritando.
Se quiser fugir do Windows pra desktop a única opção é o Linux já que o MacOS só funciona em sistemas Apple.
E MacOS é um Unix modificado, caso vc não saiba.
Para computadores pessoais é verdade que alguns preferem mac OS, mas para os supercomputadores, todos usam linux, seja em portugal, espanha frança, alemanha, japão, EUA, não há um único que seja mac ou windows. E quanto a geeks refere-se a engenheiros e cientistas? Isso parece inveja, estudasse…
Vejamos de onde vem o referido pacote: http://br.archive.ubuntu.com/ubuntu/pool/universe/g/game-music-emu/libgme0_0.6.0-3ubuntu0.16.04.1_amd64.deb. Ou seja, do ramo “universe”, repositório de código prorietário. Como o código é fechado, não tem como realizar uma auditoria do mesmo.
.
Quanto a insegurança do linux, digo que não existe sistema operacional inseguro, mas usuários inseguros. O linux tem bugs como qualquer outro, principalmente nos pacotes não livres, como os bloobs instalados no kernel.
.
Mas prefiro mil vezes este, onde instalo o que quero, quando quero, onde quero, do que a janela ou a maçã, caixas fechadas com aranhas, percevejos, mosquitos, muriçocas e “otras cositas más” que os “hackers” de plantão nem sabem que existem.
.
Mantenham seus sistemas operacionais atualizados, usem senhas seguras, não façam estripulias com repositórios oficiais e evitem os badús da vida. Bons dias a todos!
.
Agora disse tudo caro Carlos. Essa biblioteca vem com o Linux, a vulnerabilidade está dentro do Linux, mesmo sendo do ramo “universe” como referiu.
mesmo não tendo como não podendo realizar uma auditoria, é uma fragilidade do sistema operativo que traz essa biblioteca. Verdade?
A falha não vem do linux, mas sim de um binário de código fechado disponível em várias distribuições. Na instalação de distribuições Linux, estes repositórios com binários de código fechado são facultativos, e a quando da instalação é dado a opção para instalar o repositório e feito um aviso. Classificar isto como falha grave é no mínimo anedótico, porque nenhum técnico de TI com o mínimo de conhecimento na área, principalmente em servidores e workstations o vai fazer.
Para além disso, para este exploit ter sucesso é preciso ter acesso á máquina com uma conta qq, ou seja, não é algo que se possa fazer remotamente.
Isto para não falar que já existe correcção para o problema na maioria das distribuições Linux Como costumo dizer, quem anda à chuva, molha-se.
Falha grave no Linux é não deixá-lo actualizado.
Carraio… mas acho que isto foi ‘descoberto’ prái à um mês… ao que parece foi corrigido porque…
“[UPDATE 13 Dec 2016 — a couple of competent readers inform me that I’ve named the wrong processor! The actual emulated processor where the fault lies is the Sony SPC700, not the Ricoh 5A22. Whoops. The SPC700 is exclusively an audio co-processor. The 5A22, which is not emulated by Game Music Emu, is the main processor.]”
Mas não deixa de ser uma falha caricata. Principalmente sendo apenas necessário abrir a pasta onde tenha um ficheiro com código malicioso que o “preview” dos gestores ficheiros ao tentar gerar o icon e/ou miniatura abre o ficheiro e é o mais que suficiente para “ativar” a falha. Mas para utilizar esta falhar para atacar um servidor… pode ser bem mais complicado.
Eu tenho uma preguiça dos fanboys de Linux. É como os socialistas, enquanto você não mudar de sistema (no caso de capitalismo para marxismo) eles não sossegam, te chamam de idiota e ainda debocham. É incrível como ninguém consegue usar as coisas sem paz sem ter de querer fazer o mundo seguir seus gostos.
Linux é um kernel mais estável, mais seguro? Ótimo! Use!
Windows tem mais jogos e maior praticidade? Ótimo! Use também!
Esse maniqueísmo informático já deu o que tinha que dar. São sempre adolescentes briguentos que se acham o cracker por utilizar Linux. Muitas vezes não sabem nem programar, mas tem que defender como um alienado seu sistema.
Cresçam, pirralhos. Existe mercado e o mercado não se importa com que é melhor, mas sim no que é mais rentável.