Linux/SELinux/04/16 Miniaturansichten
Schutz von Miniaturansichten
Die Miniaturansichtssymbole können es einem Angreifer potenziell ermöglichen, mithilfe von Wechselmedien wie USB-Geräten oder CDs in einen gesperrten Rechner einzudringen
- Wenn das System einen Wechseldatenträger erkennt, führt der Dateimanager Nautilus den Code des Miniaturansicht-Treibers aus, um Miniaturansichten in einem entsprechenden Dateibrowser anzuzeigen, selbst wenn der Rechner gesperrt ist
- Dieses Verhalten ist unsicher, da ein Angreifer, falls die ausführbaren Miniaturansicht-Dateien anfällig wären, den Code des Miniaturansicht-Treibers nutzen könnte, um den Sperrbildschirm zu umgehen, ohne das Passwort einzugeben
Daher wird eine neue SELinux-Richtlinie verwendet, um solche Angriffe zu verhindern
- Diese Richtlinie stellt sicher, dass alle Miniaturansicht-Treiber gesperrt sind, wenn der Bildschirm gesperrt ist
- Der Miniaturansicht-Schutz ist sowohl für eingeschränkte als auch für uneingeschränkte Benutzer aktiviert
- Diese Richtlinie betrifft die folgenden Anwendungen
- /usr/bin/evince-thumbnailer
- /usr/bin/ffmpegthumbnailer
- /usr/bin/gnome-exe-thumbnailer.sh
- /usr/bin/gnome-nds-thumbnailer
- /usr/bin/gnome-xcf-thumbnailer
- /usr/bin/gsf-office-thumbnailer
- /usr/bin/raw-thumbnailer
- /usr/bin/shotwell-video-thumbnailer
- /usr/bin/totem-video-thumbnailer
- /usr/bin/whaaw-thumbnailer
- /usr/lib/tumbler-1/tumblerd
- /usr/lib64/tumbler-1/tumblerd