Die Bibliothek libinput, ein Eckpfeiler der Eingabegeräteverwaltung unter Linux, hat ein dringendes Update erhalten. Es wurde eine Sicherheitslücke entdeckt, die es einem manipulierten Peripheriegerät ermöglicht, das udev-System zu täuschen. Der Angreifer kann schädlichen Code mit Administratorrechten ausführen und so die Sicherheit des Systems gefährden, ohne dass ein direkter physischer Zugriff erforderlich ist.
Die Täuschung von udev: Wie eine falsche Maus die Kontrolle übernimmt 🖱️
Der Fehler liegt darin, wie libinput Ereignisse von Geräten verarbeitet. Ein betrügerisches Peripheriegerät kann Daten einschleusen, die von udev als gültige Anweisungen zur Änderung von Systemregeln interpretiert werden. Dies ermöglicht es dem Angreifer, Privilegien zu erweitern und beliebige Befehle auszuführen. Die Korrektur validiert nun streng die Herkunft jedes Ereignisses und verhindert so, dass eine falsche Tastatur oder Maus ein anderes autorisiertes Gerät vortäuscht.
Deine Tastatur hasst dich (und kann jetzt dein System löschen) ⌨️
Du hast immer geahnt, dass deine Tastatur ein Eigenleben hat, aber jetzt stellt sich heraus, dass eine Spielzeugmaus mehr Schaden anrichten kann als ein Hacker in Soutane. Die gute Nachricht ist, dass du deinem Peripheriegerät nicht mehr mit einem Hammer drohen musst, um dich sicher zu fühlen. Aktualisiere libinput und fürchte dich nicht länger vor der Büromaus. Zumindest bis zum nächsten Patch.