Skype的Debian软件包可能允许攻击者完全接管机器

Skype的Debian软件包可能允许攻击者完全接管机器

安全研究员Enrico Weigelt发现了Skype在Debian Linux机器上安装的关键安全问题，在系统的sources.list文件中添加其Microsoft的APT存储库。

Skype的Debian软件包使用APT配置配置文件，该配置文件自动将Microsoft的apt存储库插入到默认的系统软件包源中，允许任何有权访问它的人使用恶意工具来破坏计算机。

通俗地说，APT存储库是.deb软件包的集合，用作所有基于Debian的Linux机器的中央存储，管理和交付平台。

APT存储库可以在apt-get命令的帮助下用于在Debian机器上安装，删除或更新应用程序。

在获得对Microsoft的Debian apt存储库的控制权之后，攻击者将能够使用更新系统在各种发行版软件包中注入恶意内容，以及用恶意制作的软件包替换合法软件包。

微软或能够访问其存储库私钥的第三方可以完全控制安装Skype的任何Debian机器

更糟糕的是，正如Canonical的Seth Arnold在Full Disclosure邮件列表中所指出的那样，因为Debian软件包的安装和卸载脚本使用完全root权限运行，如果攻击者知道他们在做什么，他们可以完全接管受影响的Debian计算机。

Weigelt为Microsoft提供了一个缓解解决方案，用于解决Skype Deiban软件包中的安全问题，即从.deb软件包中删除apt配置文件。

安装Skype后，用户还可以采取一些措施来保护他们的计算机免受攻击。

作为第一步，您可以删除Skype在Linux机器上安装后添加的源/列表条目，您可以手动解压缩并重新打包它，以确保Microsoft的apt存储库不会首先附加到sources.list 。

您还可以在受限容器中安装Skype，以限制使用Linux容器（LXC）的内核级隔离可以造成的损害。

“不受信任的软件包始终存在很大的安全风险 - 严重的安全风险不应安装在任何与安全相关的系统上，”Weigelt表示 “最好的选择，是一个精心隔离的容器（例如lxc或docker） - 不要让它访问你的私人数据，并确保你切断它的麦克风访问时，实际上没有Skype通话。”

Weigelt发现的漏洞首先被添加到CXSECURITY漏洞数据库，然后添加到Full Disclosure邮件列表中，并且它还没有常见漏洞和披露（CVE）标识号。

通过Snap在Ubuntu 17.10中安装Skype  https://www.linuxboy.net/Linux/2018-02/150747.htm

Microsoft Loves Linux：Skype的Snap安装包发布  https://www.linuxboy.net/Linux/2018-02/150733.htm

linuxboy的RSS地址：https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址：https://www.linuxboy.net/Linux/2018-10/154568.htm