Hacknout Grub2 zvládne každý, stačí 28× stisknout klávesu. Stáhněte opravu

  20:15aktualizováno  26. prosince 16:59
Netradiční způsob útoku si může vyzkoušet každý, kdo umí počítat na prstech. Programátoři zároveň s informacemi o šest let staré chybě vydali i její opravu.

Detail klávesy Backspace | foto: Pavel Kasík - Technet.cz

Zpráva o zero-day chybě linuxového zaváděcího programu (bootloaderu) Grub2 byla celkem překvapivá, protože se týkala velmi staré chyby populárního zavaděče, který je tradiční součástí populárních linuxových distribucí. Programátoři Hector Marco a Ismael Ripoll analýzou zdrojového kódu objevili chybu, která v rozšířeném open-sourcovém programu Grub2 zůstala od roku 2009. Zavaděč GNU Grub spolupracuje i s platformami Windows, OS X nebo Solaris, nejčastěji je ale používán s různými distribucemi operačního systému Linux, jejich je výchozí součástí.

Koho se týká?

Chybu by měl opravit každý, kdo používá jako jedno ze zabezpečení počítače zaheslování zavaděče Grub2. Zranitelnost lze využít i v případě, že uživatel šifruje data na disku. Útočník musí mít pro využití této chyby fyzický přístup k počítači.

Chyba je zneužitelná na systémech, které používají k zabezpečení počítače (i) zaheslování zavaděče systému. Programátoři zároveň ukázali, že je možné použít ji (nepřímo, pomocí speciálního narafičeného malware) i k napadení počítačů, které mají další ochranné prvky, například zašifrovaná data na disku. Útočník však každopádně potřebuje fyzický přístup k napadanému počítači.

„To, že je váš systém napadnutelný, zjistíte tak, že při přihlašování místo jména a hesla 28krát stisknete klávesu Backspace a potvrdíte klávesou Enter,“ píší objevitelé chyby. „Spustíte tím nouzový příkazový řádek Grub2, ze kterého můžete například nainstalovat do počítače malware.“ I v případě, že má uživatel počítače zašifrován osobní adresář, se tak útočník může dostat k citlivým datům.

Chyba funguje na principu využití špatné práce programu s pamětí. Opakovaným stiskem Backspace hacker vnutí počítači hodnotu, která jej donutí přerušit probíhající operaci a dostat se do jakéhosi nouzového příkazového řádku. Nedojde sice k přihlášení jménem správce systému, ale i tak lze situace využít k napadení počítače a posléze (po přihlášení správce) i k nenápadnému získání soukromých dat či dokonce kontroly nad počítačem.

S informací o chybě vydali Marco a Ripoll také její opravu. Na záplatu upozornily i týmy vyvíjející Ubuntu, Red Hat nebo Debian.

Aktualizace: V článku jsme zdůraznili roli zavaděče Grub2 a objasnili, jakým způsobem šlo chybu využít k napadení zašifrované části disku.

Autor:
 

Nejčtenější

Soukromá kosmická loď pro lety s posádkou při zkoušce vybuchla

Elon Musk a vpravo záběr z jediného zatím dostupného neoficiálního videa, které...

Firma SpaceX během testů únikových raketových motorů přišla o jeden exemplář lodě Crew Dragon. Stroj, který za sebou...

„Převrat“ od Nikoly Tesly, který se v praxi nikdy neujal

Dobový snímek prototypu Teslovy turíbny s odhalenými disky rotoru.

Když se Nikoly Tesly na konci jeho života ptali, co považuje za svůj největší vynález, označil za něj údajně svou...

USA budují Vesmírné síly. Evropa ani Rusko nemají potřebné technologie

Nejsilnější raketou současnosti je Falcon Heavy od společností SpaceX. Motory...

K zahájení budování samostatných Vesmírných sil Spojených států zbývá už pouze jeden legislativní krůček. Základní...

Neuvěřitelné množství chyb! Jako zázrakem většina lidí havárii přežila

Pohled na kokpit, patrný je splasklý skluz. Boeing 707 společnosti BOAC...

Piloti letu BA712 společnosti BOAC udělali koncem šedesátých let jednu fatální chybu. Neaktivovali hasicí zařízení...

Neuvěřitelné výmluvy. Vyzkoušejte si, co o vás prozradí vaše klávesnice

Prediktivní klávesnici se učí, kdo jste a co píšete

Klávesnici na mobilním telefonu používáme každý den. Většina z nich se postupně učí, aby mohly lépe předvídat, jaké...

Další z rubriky

Provozujete vlastní server? O2 nabízí ochranu proti DDoS útokům

„Chcete vyřadit z provozu konkurenční firmu?“ Společnost O2 si zaplatila...

Objednat si dnes na internetu DDoS útok například na server konkurence není nijak obtížné, ani nákladné. Naopak ubránit...

SpaceX chystá ve čtvrtek ostrý start nejvýkonnější rakety Falcon Heavy

Falcon 9 Heavy

Po úspěšném testovacím letu se ve čtvrtek vydá do vesmíru na svou první pracovní misi raketa Falcon Heavy. Na oběžnou...

Facebook chce konkurovat Alexe i Siri. Chystá vlastního asistenta

Facebook Portal v bílé

Společnost Facebook údajně pracuje na vývoji vlastního hlasového asistenta, který by se mohl objevit v jejích...

Jaguar XF 20d AWD 2017 · DPH
Jaguar XF 20d AWD 2017 · DPH

r.v. 2017, naj. 55 247 km, diesel
650 000 Kč (s DPH)

Najdete na iDNES.cz