Abo
  • Services:

Desktops: Unnötige Sicherheitsrisiken mit Linux

Um Vorschaubilder von obskuren Datenformaten anzeigen zu lassen, gehen Entwickler von Linux-Desktops enorme Sicherheitsrisiken ein. Das ist ärgerlich und wäre nicht nötig.

Ein IMHO von Hanno Böck veröffentlicht am
Der Linux-Desktop als sichere Alternative? Unser Autor würde das gern empfehlen, aber die Community tut nicht genug in Sachen IT-Sicherheit.
Der Linux-Desktop als sichere Alternative? Unser Autor würde das gern empfehlen, aber die Community tut nicht genug in Sachen IT-Sicherheit. (Bild: Larry Ewing / Modifikation: Hanno Böck)

Linux-Desktops gelten vielen als sichere Alternative zu Windows. Doch leider ist Linux in Sachen Sicherheit schlechter als sein Ruf. Einige kürzlich in der Software Ghostscript entdeckten Sicherheitslücken zeigen das einmal mehr.

Stellenmarkt
  1. AraCom IT Services AG, Augsburg, München, Stuttgart, Bamberg
  2. Zentralinstitut für die kassenärztliche Versorgung, Berlin

Tavis Ormandy, der für Googles Project Zero nach Sicherheitslücken sucht, hatte mehrere gravierende Probleme in Ghostscript entdeckt. Eigentlich keine große Sache, sollte man meinen: Ghostscript ist eine Software zum Parsen und Anzeigen von Postscript-Dateien. Postscript-Dateien werden heutzutage nur noch selten verwendet.

Thumbnailer ruft Ghostscript indirekt automatisch auf

Die Zahl der Nutzer, die Ghostscript selbst aufrufen, dürfte entsprechend gering sein. Doch ein Hang zu problematischen Features und ein sorgloser Umgang mit Sicherheitsproblemen führt dazu, dass diese Lücken viel schwerwiegender sind als nötig.

Tavis Ormandy wies darauf hin, dass sich diese Sicherheitslücken über den Thumbnailer des Evince-Dokumentenbetrachters ausnutzen lassen. Evince nutzt Ghostscript zur Darstellung von Postscript-Dateien und installiert sich systemweit als Thumbnail-Werkzeug für Postscript-Dateien. Unter dem Gnome-Dateimanager Nautilus werden solche Thumbnailer automatisch aufgerufen, wenn ein Verzeichnis mit einer entsprechenden Datei angezeigt wird.

Sprich: Damit für ein selten genutztes Dateiformat ein kleines Vorschaubild im Dateimanager angezeigt werden kann, geht man ein enormes Risiko ein. Ein Angreifer muss sein Opfer nur dazu bringen, eine entsprechende Datei in einem Verzeichnis abzulegen, das irgendwann im Dateimanager geöffnet wird.

Viele Parser werden automatisch aufgerufen

Evince ist nicht der einzige Parser für Thumbnails. Unter einer Standard-Ubuntu-Installation finden sich Thumbnail-Generatoren für Videos (Totem), Bilder (gdk-pixbuf), Fonts (gnome-font-viewer) und SVG-Dateien (librsvg). Jede Sicherheitslücke in einer dieser Komponenten könnte dazu führen, dass man extrem leicht einen Gnome-Nutzer angreifen kann.

Eine ganz ähnliche Problematik betrifft die Desktop-Suche Tracker. Darüber gab es vor zwei Jahren bereits einige Diskussionen.

Ubuntu deaktiviert Sandbox für Gnome

Um solche Angriffsszenarien zu vermeiden, unterstützt Gnome inzwischen eine Sandbox-Funktion für die Desktop-Suche und die Thumbnails, die mit der Software Bubblewrap. Nur genutzt wird das bislang kaum. Ubuntu hat die Bubblewrap-Funktion beispielsweise in der aktuellen Version abgeschaltet. Unter KDE gibt es bislang überhaupt keine entsprechenden Sandboxing-Bemühungen.

Unter Ubuntu versucht man, den Aufruf der Thumbnailer durch AppArmor etwas besser abzusichern. Doch Jann Horn, der ebenfalls für Project Zero arbeitet, konnte jetzt zeigen, dass sich die Policy einfach umgehen lässt. So verhinderte AppArmor im Fall des Evince-Thumbnailers Schreibzugriffe auf das Nutzerverzeichnis und Zugriffe auf Dbus.

Unter der Live-CD-Version von Ubuntu wird AppArmor gleich komplett abgeschaltet. Dass der Live-CD wichtige Sicherheitsfeatures fehlen, erfährt man bei Ubuntu nirgends.

Das Grundproblem ist ein grundsätzliches: Viele Entwickler haben die Neigung, möglichst viele Features zu unterstützen. Die Mentalität: Wenn für ein Dateiformat eine Bibliothek zur Verfügung steht - warum sollten wir die dann nicht nutzen? Die Sicherheit wird dabei selten beachtet.

Dass Ghostscript nicht sonderlich sicher ist, sollte niemanden überraschen. Postscript ist faktisch eine eigene Programmiersprache, die in vielfältiger Weise auch auf das Dateisystem zugreifen kann. Ghostscript unterstützt einen "Safer"-Modus, in dem solche Dateizugriffe unterbunden werden sollen, doch das funktioniert nur mäßig, Sicherheitslücken gab es darin schon öfter.

Unterstützung für häufig genutzte Formate würde reichen

Mit einer solch fragwürdigen Software automatisiert potenziell nicht vertrauenswürdige Dateien zu verarbeiten, ist sicher keine gute Idee.

Dabei stellt sich die Frage, warum das überhaupt nötig ist. Dass obskure Datenformate als Thumbnail angezeigt werden, mag eine nette Spielerei sein, das Risiko ist es aber sicher nicht wert. Es würde völlig ausreichen, die Thumbnail-Funktion für wenige, häufig genutzte Dateiformate anzubieten, für die robuste und gut getestete Softwarebibliotheken zur Verfügung stehen.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 169,90€ + Versand
  3. 94,90€ + Versand mit Gutschein QVO20
  4. (reduzierte Überstände, Restposten & Co.)

guenther62 22. Okt 2018

Leider fehlt hier der Hinweis, was unter Linux obskure Datenformate sind. Da die Linux...

Wuestenschiff 15. Okt 2018

Also auf meinen Debian erstellt pcmanfm durchaus Vorschaubilder (mit i3 als desktop...

Truster 10. Okt 2018

Yep, da war was: "Two Unicode symbols from the Telugu language can crash iPhones, iPads...

QDOS 09. Okt 2018

Arbeite mal länger mit deren Compiler, dann kannst du das ziemlich gut einschätzen - die...

bombinho 06. Okt 2018

Ja, ich muss zugeben, ich bin hier keine Referenz. Wer meint, mir Emails schicken zu...


Folgen Sie uns
       


Demo gegen Uploadfilter in Berlin - Bericht

Impressionen von der Demonstration am 23. März 2019 gegen die Uploadfilter in Berlin.

Demo gegen Uploadfilter in Berlin - Bericht Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Days Gone angespielt: Zombies, Bikes und die Sache mit der Benzinpumpe
    Days Gone angespielt
    Zombies, Bikes und die Sache mit der Benzinpumpe

    Mit dem nettesten Biker seit Full Throttle: Das Actionspiel Days Gone schickt uns auf der PS4 ins ebenso große wie offene Abenteuer. Trotz brutaler Elemente ist die Atmosphäre erstaunlich positiv - beim Ausprobieren wären wir am liebsten in der Welt geblieben.
    Von Peter Steinlechner


      Falcon Heavy: Beim zweiten Mal wird alles besser
      Falcon Heavy
      Beim zweiten Mal wird alles besser

      Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
      Von Frank Wunderlich-Pfeiffer und dpa

      1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
      2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
      3. Raumfahrt SpaceX - Die Rückkehr des Drachen

        •  /