Sicherheitslücke in libcue - Gnome-Desktop gefährdet

Kevin Backhouse ein Sichheitsforscher vom GitHub Sicherheitsteam hat eine Sicherheitslücke (CVE-2023-43641) in der libcue-Bibliothek gefunden, die vor allem in GNOME zum Einsatz kommt. Libcue ist für das Parsen von cue sheets zuständig. Dabei handelt sich um Metadaten, die das Layout von Liedern (Tracks) auf CD's beschreiben.

Libcue verwendet Tracker Miners, eine Suchmaschine, die in GNOME integriert ist. Tracker Miners kommt auch zum Scannen z.B. von HTML, JPEG und PDF zum Einsatz. Wird nun eine Datei im Homeverzeichnis abgelegt, also z.B. im Downloadordner, aktualisiert Tracker Miners den Index. Lädt der Anwender eine manipulierte .cue-Datei herunter, wird diese durch Tracker Miners mit Einsatz von libcue analysiert, was zur Ausführung der Datei führt. Im Blogbeitrag von Kevin Backhouse kann man sich ein Video anschauen, in dem man sieht, wie er eine entsprechende Datei herunterlädt und sich anschließend der Taschenrechner öffnet.

Zumindest für Ubuntu steht schon ein Patch bereit. Im Repository von libcue wurde der Fix erst am 09.10.2023 eingespielt. Backhouse betont, dass es sich um keinen Fehler von Tracker Miners handelt. Er stellt eine Datei zur Verfügung, damit man selber testen kann, ob sein System betroffen ist (siehe Blogbeitrag).

Nachtrag

Mittlerweile ist der Patch in den meisten Repositories angekommen. Die betroffene Version laut 2.2.1-3; gefixt wurde in Version 2.2.1-4. Falls ihr überprüfen möchtet, auf welchem Stand ihr seid, dann könnt ihr in eurem Paketmanager die Version von libcue nachsehen oder das im Terminal erledigen. Für Arch-basierte Systeme sieht das so aus:

pacman -Q --info libcue
Name        : libcue
Version     : 2.3.0-0

Bei Debian-basierten Systemen nehmt ihr: apt show libcue

Quellen:
https://github.com/lipnitsk/libcue
https://github.blog/2023-10-09-coordinated-disclosure-1-click-rce-on-gnome-cve-2023-43641/
https://ubuntu.com/security/CVE-2023-43641