Hacknout Grub2 zvládne každý, stačí 28× stisknout klávesu. Stáhněte opravu

  20:15aktualizováno  26. prosince 16:59
Netradiční způsob útoku si může vyzkoušet každý, kdo umí počítat na prstech. Programátoři zároveň s informacemi o šest let staré chybě vydali i její opravu.

Detail klávesy Backspace | foto: Pavel Kasík - Technet.cz

Zpráva o zero-day chybě linuxového zaváděcího programu (bootloaderu) Grub2 byla celkem překvapivá, protože se týkala velmi staré chyby populárního zavaděče, který je tradiční součástí populárních linuxových distribucí. Programátoři Hector Marco a Ismael Ripoll analýzou zdrojového kódu objevili chybu, která v rozšířeném open-sourcovém programu Grub2 zůstala od roku 2009. Zavaděč GNU Grub spolupracuje i s platformami Windows, OS X nebo Solaris, nejčastěji je ale používán s různými distribucemi operačního systému Linux, jejich je výchozí součástí.

Koho se týká?

Chybu by měl opravit každý, kdo používá jako jedno ze zabezpečení počítače zaheslování zavaděče Grub2. Zranitelnost lze využít i v případě, že uživatel šifruje data na disku. Útočník musí mít pro využití této chyby fyzický přístup k počítači.

Chyba je zneužitelná na systémech, které používají k zabezpečení počítače (i) zaheslování zavaděče systému. Programátoři zároveň ukázali, že je možné použít ji (nepřímo, pomocí speciálního narafičeného malware) i k napadení počítačů, které mají další ochranné prvky, například zašifrovaná data na disku. Útočník však každopádně potřebuje fyzický přístup k napadanému počítači.

„To, že je váš systém napadnutelný, zjistíte tak, že při přihlašování místo jména a hesla 28krát stisknete klávesu Backspace a potvrdíte klávesou Enter,“ píší objevitelé chyby. „Spustíte tím nouzový příkazový řádek Grub2, ze kterého můžete například nainstalovat do počítače malware.“ I v případě, že má uživatel počítače zašifrován osobní adresář, se tak útočník může dostat k citlivým datům.

Chyba funguje na principu využití špatné práce programu s pamětí. Opakovaným stiskem Backspace hacker vnutí počítači hodnotu, která jej donutí přerušit probíhající operaci a dostat se do jakéhosi nouzového příkazového řádku. Nedojde sice k přihlášení jménem správce systému, ale i tak lze situace využít k napadení počítače a posléze (po přihlášení správce) i k nenápadnému získání soukromých dat či dokonce kontroly nad počítačem.

S informací o chybě vydali Marco a Ripoll také její opravu. Na záplatu upozornily i týmy vyvíjející Ubuntu, Red Hat nebo Debian.

Aktualizace: V článku jsme zdůraznili roli zavaděče Grub2 a objasnili, jakým způsobem šlo chybu využít k napadení zašifrované části disku.

Autor:
  • Nejčtenější

Vyplatilo se Němcům opustit jádro? Studie odhaluje překvapivé zjištění

Norská studie dokazuje, že masivní investice do obnovitelných zdrojů energie přinesly Německu v posledních 20 letech mnohem menší redukci emisí skleníkových plynů, než jakou by zajistily za výrazně...

3. října 2024

Písničky i posluchače zařídila AI, on mezitím inkasoval miliony. Teď ho čeká soud

Je to asi první případ svého druhu, kdy někdo půjde před soud za to, že zneužil díla vytvořená umělou inteligencí. Poměrně sofistikovaným podvodem si totiž jeden hudebník přišel během několika let na...

27. září 2024

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Parní lokomotiva, která nikdy nemohla přijet uhlím napřed

Vedle parních lokomotiv „obyčejné“ konstrukce vznikaly také parní lokomotivy méně obvyklé, až vyloženě neortodoxní, kam patří i stroje systému Fairlie. Obousměrné lokomotivy Fairlie vypadají na první...

30. září 2024

Opravdu byste se před T. rexem neschovali ani v autě?

Za poslední čtvrtstoletí se objevilo několik studií, které přišly s odhady konkrétní síly a tlaku, jimiž dokázal Tyrannosaurus rex působit na svoji kořist. Výsledky různých výzkumů se značně liší v...

29. září 2024

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Bojová technika se roztavila. Jak Sověti testovali jaderné zbraně na civilistech

Premium

Stalo se před 70 lety. Sovětský svaz v rámci tajného projektu vývoje jaderných zbraní provedl pokus, při němž si na svých vlastních lidech – civilistech i vojácích – testoval, co nukleární výbuch umí...

28. září 2024

Všestranný laptop se silou AI. Asus má stylovou a praktickou novinku

Advertorial

Taková kombinace vlastností se u notebooků jen tak nevidí. Nový ASUS Zenbook S 14 je laptop se špičkovým designem a zpracováním, parádním displejem, nízkou hmotností a přitom vysokým výkonem i...

4. října 2024

Poznáte letadla podle charakteristických detailů?

Kvíz, byť nevelký, má široký záběr, který prověří všeobecný rozhled v rozpoznávání letadel. Nejstarší stroj je z první světové války, ale najdeme i typ nalézající se dnes v aktivní službě. A přijde i...

vydáno 4. října 2024

Úřady pozastavily lety rakety SpaceX kvůli problému při misi s posádkou

Společnost SpaceX musí vyšetřit problém druhého stupně nosiče Falcon 9, který se projevil při misi Crew-9. Při ní stroj vynesl pilotovanou loď Crew Dragon, která později podle plánů přistála u ISS....

3. října 2024  16:42

Vyplatilo se Němcům opustit jádro? Studie odhaluje překvapivé zjištění

Norská studie dokazuje, že masivní investice do obnovitelných zdrojů energie přinesly Německu v posledních 20 letech mnohem menší redukci emisí skleníkových plynů, než jakou by zajistily za výrazně...

3. října 2024

Lucie Zelinková: Nikdy jsem se tématu mateřství věnovat nechtěla. Všechno je jinak
Lucie Zelinková: Nikdy jsem se tématu mateřství věnovat nechtěla. Všechno je jinak

Moje témata patří snad k těm nejvíce nepopulárním, která ve společnosti kolují, říká v podcastu Netabuj knihomolka, influencerka a maminka malé...

Škoda odhalila nový elektromobil Elroq na Vltavě, ceny startují na 800 tisících

Škoda představila v Praze, v reprezentativní budově Občanské plovárny, svůj nový elektromobil. Model Elroq je od...

Konec platebních karet? Bankám vadí jejich monopol, pracují na alternativě

Premium Evropské banky se již nějakou dobu snaží vyšachovat ze hry bezmála monopolní poskytovatele platebních karet – firmy...

Vyplatilo se Němcům opustit jádro? Studie odhaluje překvapivé zjištění

Norská studie dokazuje, že masivní investice do obnovitelných zdrojů energie přinesly Německu v posledních 20 letech...

Horší než nejčernější scénář. Převézt zboží nešlo, říká majitel vyplavené firmy

Jeseníkem se prohnala velká voda, smetla většinu města, nešetřila domy ani firmy. Malé říčky Bělá a Staříč způsobily...

Sexy studentka je novou hvězdou Playboye. Nafotil ji SuperStar Miro Šmajda

V létě vyhrála soutěž Hledáme Playmate 2024 a už má za sebou focení pro Playboy. Studentka Sandra Taškovičová (19) z...