Führende Figuren der Europäischen Kommission standen offenbar im Visier einer Spionageaktion. Bei Justizkommissar Didier Reynders und vier Kommissionsmitarbeiter:innen sollen Anzeichen gefunden worden sein, dass ihre Geräte mit Staatstrojanern angegriffen wurden. Einen entsprechenden Bericht der Nachrichtenagentur Reuters, der sich auf EU-Quellen und E-Mails beruft, bestätigte die EU-Kommission am Montag nicht. Ein Sprecher betonte lediglich, dass es ausreichende Sicherheitsmaßnahmen für Geräte von Kommissionsangehörigen gebe.
Für europaweites Entsetzen sorgten im Vorjahr globale Enthüllungen über den Einsatz des Staatstrojaners Pegasus des israelischen Herstellers NSO Group. Damals wurde bekannt, dass die ungarische Regierung Pegasus gegen Oppositionelle und Journalist:innen eingesetzt hatte. Kommissionschefin Ursula von der Leyen bezeichnete dies als „komplett inakzeptabel“. Später gestand auch die polnische Regierung den Kauf von Pegasus ein. Die Spähsoftware war zuvor auf den Geräten von Oppositionspolitikern gefunden worden, einen Einsatz zu politischen Zwecken bestritt Polens Vize-Ministerpräsident Jarosław Kaczyński jedoch.
EU-Parlament setzt Pegasus-U-Ausschuss ein
Als wenige Wochen später Hinweise auf die Verwendung des Staatstrojaners gegen französische Kabinettsmitglieder auftauchten, fragte netzpolitik.org die EU-Kommission, ob diese ihre Geräte auf Zugriff durch Pegasus geprüft habe. Damals sagte ein Kommissionssprecher, die Geräte des Personals seien grundsätzlich ausreichend gesichert, auf die konkrete Frage gebe es keinen Kommentar. Während die USA als Reaktion auf die Enthüllungen NSO Group auf eine Liste für Handelsbeschränkungen setzten, blieben ähnliche Schritte durch die EU und Deutschland aus.
Die juristische Aufarbeitung des Pegasus-Einsatzes in Ungarn geriet zuletzt ins Stocken. Die ungarische Datenschutzbehörde erklärte, der Einsatz des Staatstrojaners sei rechtens gewesen – dafür gab es erhebliche Kritik von Amnesty International und anderen Menschenrechtsorganisationen. Das EU-Parlament hat wegen der Pegasus-Affäre einen Untersuchungsausschuss eingesetzt, der im Sommer die Arbeit aufnehmen soll.
Wer hinter der Spionageaktion gegen die EU-Kommission steckt, bleibt zunächst unklar. Reuters meldete, die EU-Kommission sei im November durch Warnungen von Apple auf eine mögliche Attacke aufmerksam geworden. Das Technologieunternehmen hatte damals angekündigt, alle Nutzenden zu informieren, bei denen Anzeichen eines Infektionsversuches mit Staatstrojanern zu erkennen sind. Ob die Geräte tatsächlich infiziert wurden, ist nicht bekannt.
Die Sicherheitslücke „ForcedEntry“, die für die mutmaßliche Attacke auf die EU-Kommission genutzt wurde, werde demnach sowohl von Pegasus als auch von ähnlicher Software der israelischen Firma QuaDream genutzt. Während NSO Group gegenüber Reuters sagte, ein solches Targeting sei mit seinen Werkzeugen nicht möglich gewesen, äußerte sich QuaDream gegenüber der Nachrichtenagentur nicht.
Was sind da schon „ausreichende Sicherheitsmaßnahmen“. Die Nichtnutzung der Telefone?
>> JBIG2 doesn’t have scripting capabilities, but when combined with a vulnerability, it does have the ability to emulate circuits of arbitrary logic gates operating on arbitrary memory. So why not just use that to build your own computer architecture and script that!? That’s exactly what this exploit does. Using over 70,000 segment commands defining logical bit operations, they define a small computer architecture with features such as registers and a full 64-bit adder and comparator which they use to search memory and perform arithmetic operations. It’s not as fast as Javascript, but it’s fundamentally computationally equivalent.
The bootstrapping operations for the sandbox escape exploit are written to run on this logic circuit and the whole thing runs in this weird, emulated environment created out of a single decompression pass through a JBIG2 stream. It’s pretty incredible, and at the same time, pretty terrifying. <<
https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html
Das dies möglich ist, darauf hat Apple seine Kunden hingewiesen. Dass da EU-Kommissionsbeamte darunter sind verwundert kaum, wenngleich doch, dass diese solche Mitteilungen lesen. Juristen lesen alles, auch wenn sie es nicht verstehen. Das wiederum unterscheidet sie kaum von Journalisten.
jbigkit is required by tiff which is still required by hundreds of software libraries (openjpeg, poppler, etc) and packages.
Due to this dependency of dependencies JBIG library lands on systems using i.e Asterisk if default build options were used.
The last security upgrade is 8 years old:
JBIG-KIT revision history
————————-
Changes in version 2.1 (2014-04-08)
This is a security-critical bug-fix release that remains API and ABI
backwards compatible to version 2.0. Users who process BIE data from
untrusted sources should upgrade.
– fixed a buffer-overflow vulnerability in the jbig.c decoder,
reported by Florian Weimer (Red Hat): CVE-2013-6369
– fixed ability of corrupted input data to force jbig85.c decoder
into an end-less loop
– fixed a bug in the processing of private deterministic-prediction
tables (DPPRIV=1) in jbig.c decoder
– fixed integer-type mismatches in printf arguments on 64-bit systems
This is a beautiful example of an open source project that is obviously mo more properly maintained, but still deployed widely.
2013 was the year of the Snowden-Event triggering software audits in the months thereafter. This kind of searching for vulberabilities slowed down since then significantly except for those who were making a living out of it. Instead of writing CVEs they sell it to the most bidding criminals or state agencies.