Desktops: Unnötige Sicherheitsrisiken mit Linux

Um Vorschaubilder von obskuren Datenformaten anzeigen zu lassen, gehen Entwickler von Linux-Desktops enorme Sicherheitsrisiken ein. Das ist ärgerlich und wäre nicht nötig.

Ein IMHO von veröffentlicht am
Der Linux-Desktop als sichere Alternative? Unser Autor würde das gern empfehlen, aber die Community tut nicht genug in Sachen IT-Sicherheit.
Der Linux-Desktop als sichere Alternative? Unser Autor würde das gern empfehlen, aber die Community tut nicht genug in Sachen IT-Sicherheit. (Bild: Larry Ewing / Modifikation: Hanno Böck)

Linux-Desktops gelten vielen als sichere Alternative zu Windows. Doch leider ist Linux in Sachen Sicherheit schlechter als sein Ruf. Einige kürzlich in der Software Ghostscript entdeckten Sicherheitslücken zeigen das einmal mehr.

Stellenmarkt
  1. Experte* - Hochautomatisiertes Fahren
    IAV GmbH, Heimsheim, München, Weissach
  2. SAP QM/MES Spezialist (m/w/d)
    Müller Service GmbH, Leppersdorf
Detailsuche

Tavis Ormandy, der für Googles Project Zero nach Sicherheitslücken sucht, hatte mehrere gravierende Probleme in Ghostscript entdeckt. Eigentlich keine große Sache, sollte man meinen: Ghostscript ist eine Software zum Parsen und Anzeigen von Postscript-Dateien. Postscript-Dateien werden heutzutage nur noch selten verwendet.

Thumbnailer ruft Ghostscript indirekt automatisch auf

Die Zahl der Nutzer, die Ghostscript selbst aufrufen, dürfte entsprechend gering sein. Doch ein Hang zu problematischen Features und ein sorgloser Umgang mit Sicherheitsproblemen führt dazu, dass diese Lücken viel schwerwiegender sind als nötig.

Tavis Ormandy wies darauf hin, dass sich diese Sicherheitslücken über den Thumbnailer des Evince-Dokumentenbetrachters ausnutzen lassen. Evince nutzt Ghostscript zur Darstellung von Postscript-Dateien und installiert sich systemweit als Thumbnail-Werkzeug für Postscript-Dateien. Unter dem Gnome-Dateimanager Nautilus werden solche Thumbnailer automatisch aufgerufen, wenn ein Verzeichnis mit einer entsprechenden Datei angezeigt wird.

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  2. Ansible Fundamentals: Systemdeployment & -management
    27.09.-01.10. 2021, online
Weitere IT-Trainings

Sprich: Damit für ein selten genutztes Dateiformat ein kleines Vorschaubild im Dateimanager angezeigt werden kann, geht man ein enormes Risiko ein. Ein Angreifer muss sein Opfer nur dazu bringen, eine entsprechende Datei in einem Verzeichnis abzulegen, das irgendwann im Dateimanager geöffnet wird.

Viele Parser werden automatisch aufgerufen

Evince ist nicht der einzige Parser für Thumbnails. Unter einer Standard-Ubuntu-Installation finden sich Thumbnail-Generatoren für Videos (Totem), Bilder (gdk-pixbuf), Fonts (gnome-font-viewer) und SVG-Dateien (librsvg). Jede Sicherheitslücke in einer dieser Komponenten könnte dazu führen, dass man extrem leicht einen Gnome-Nutzer angreifen kann.

Eine ganz ähnliche Problematik betrifft die Desktop-Suche Tracker. Darüber gab es vor zwei Jahren bereits einige Diskussionen.

Ubuntu deaktiviert Sandbox für Gnome

Um solche Angriffsszenarien zu vermeiden, unterstützt Gnome inzwischen eine Sandbox-Funktion für die Desktop-Suche und die Thumbnails, die mit der Software Bubblewrap. Nur genutzt wird das bislang kaum. Ubuntu hat die Bubblewrap-Funktion beispielsweise in der aktuellen Version abgeschaltet. Unter KDE gibt es bislang überhaupt keine entsprechenden Sandboxing-Bemühungen.

Unter Ubuntu versucht man, den Aufruf der Thumbnailer durch AppArmor etwas besser abzusichern. Doch Jann Horn, der ebenfalls für Project Zero arbeitet, konnte jetzt zeigen, dass sich die Policy einfach umgehen lässt. So verhinderte AppArmor im Fall des Evince-Thumbnailers Schreibzugriffe auf das Nutzerverzeichnis und Zugriffe auf Dbus nicht.

Unter der Live-CD-Version von Ubuntu wird AppArmor gleich komplett abgeschaltet. Dass der Live-CD wichtige Sicherheitsfeatures fehlen, erfährt man bei Ubuntu nirgends.

Das Grundproblem ist ein grundsätzliches: Viele Entwickler haben die Neigung, möglichst viele Features zu unterstützen. Die Mentalität: Wenn für ein Dateiformat eine Bibliothek zur Verfügung steht - warum sollten wir die dann nicht nutzen? Die Sicherheit wird dabei selten beachtet.

Dass Ghostscript nicht sonderlich sicher ist, sollte niemanden überraschen. Postscript ist faktisch eine eigene Programmiersprache, die in vielfältiger Weise auch auf das Dateisystem zugreifen kann. Ghostscript unterstützt einen "Safer"-Modus, in dem solche Dateizugriffe unterbunden werden sollen, doch das funktioniert nur mäßig, Sicherheitslücken gab es darin schon öfter.

Unterstützung für häufig genutzte Formate würde reichen

Mit einer solch fragwürdigen Software automatisiert potenziell nicht vertrauenswürdige Dateien zu verarbeiten, ist sicher keine gute Idee.

Dabei stellt sich die Frage, warum das überhaupt nötig ist. Dass obskure Datenformate als Thumbnail angezeigt werden, mag eine nette Spielerei sein, das Risiko ist es aber sicher nicht wert. Es würde völlig ausreichen, die Thumbnail-Funktion für wenige, häufig genutzte Dateiformate anzubieten, für die robuste und gut getestete Softwarebibliotheken zur Verfügung stehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Frommer Legal
Große Abmahnwelle wegen Filesharing in Deutschland

Viele Menschen suchen derzeit Hilfe bei einer Anwaltskanzlei, weil sie wegen angeblich illegalem Filesharing abgemahnt wurden.

Frommer Legal: Große Abmahnwelle wegen Filesharing in Deutschland
Artikel
  1. Kriminalität: Dresdnerin wegen Mordauftrag im Darknet angeklagt
    Kriminalität
    Dresdnerin wegen Mordauftrag im Darknet angeklagt

    Eine 41-Jährige aus Dresden ist angeklagt, im Darknet einen Mord in Auftrag gegeben zu haben. Für die Ermordung der neuen Freundin ihres Ex-Mannes soll sie 0,2 Bitcoin geboten haben.

  2. Fernseher zum Bestpreis beim Amazon Prime Day
     
    Fernseher zum Bestpreis beim Amazon Prime Day

    Neben vielen anderen interessanten Produkten gibt es viele hochqualitative Fernseher zu niedrigen Preisen.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Ärger um Drachenlord: Dorf verhängt Allgemeinverfügung wegen umstrittenem Youtuber
    Ärger um Drachenlord
    Dorf verhängt Allgemeinverfügung wegen umstrittenem Youtuber

    Seit Jahren ist das Dorf Altschauerberg Schauplatz von Provokationen gegen den Youtuber Rainer Winkler. Jetzt sollen neue Gesetze die Ordnung wiederherstellen.

guenther62 22. Okt 2018

Leider fehlt hier der Hinweis, was unter Linux obskure Datenformate sind. Da die Linux...

Wuestenschiff 15. Okt 2018

Also auf meinen Debian erstellt pcmanfm durchaus Vorschaubilder (mit i3 als desktop...

Truster 10. Okt 2018

Yep, da war was: "Two Unicode symbols from the Telugu language can crash iPhones, iPads...

QDOS 09. Okt 2018

Arbeite mal länger mit deren Compiler, dann kannst du das ziemlich gut einschätzen - die...

bombinho 06. Okt 2018

Ja, ich muss zugeben, ich bin hier keine Referenz. Wer meint, mir Emails schicken zu...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • SSD (u. a. Samsung 980 Pro 1TB PCIe 4.0 140,19€) • Gaming-Laptops von Razer & MSI • Crucial 32GB Kit DDR4-4000 269,79€ • 30% auf Warehouse • Primetime bei Saturn (u. a. Switch Lite 166,24€) • Gaming-Chairs • MM Gönn dir Dienstag [Werbung]
    •  /