Abo
  • Services:

Desktops: Unnötige Sicherheitsrisiken mit Linux

Um Vorschaubilder von obskuren Datenformaten anzeigen zu lassen, gehen Entwickler von Linux-Desktops enorme Sicherheitsrisiken ein. Das ist ärgerlich und wäre nicht nötig.

Ein IMHO von Hanno Böck veröffentlicht am
Der Linux-Desktop als sichere Alternative? Unser Autor würde das gern empfehlen, aber die Community tut nicht genug in Sachen IT-Sicherheit.
Der Linux-Desktop als sichere Alternative? Unser Autor würde das gern empfehlen, aber die Community tut nicht genug in Sachen IT-Sicherheit. (Bild: Larry Ewing / Modifikation: Hanno Böck)

Linux-Desktops gelten vielen als sichere Alternative zu Windows. Doch leider ist Linux in Sachen Sicherheit schlechter als sein Ruf. Einige kürzlich in der Software Ghostscript entdeckten Sicherheitslücken zeigen das einmal mehr.

Stellenmarkt
  1. Volksbank Schnathorst eG, Hüllhorst
  2. Universität Passau, Passau

Tavis Ormandy, der für Googles Project Zero nach Sicherheitslücken sucht, hatte mehrere gravierende Probleme in Ghostscript entdeckt. Eigentlich keine große Sache, sollte man meinen: Ghostscript ist eine Software zum Parsen und Anzeigen von Postscript-Dateien. Postscript-Dateien werden heutzutage nur noch selten verwendet.

Thumbnailer ruft Ghostscript indirekt automatisch auf

Die Zahl der Nutzer, die Ghostscript selbst aufrufen, dürfte entsprechend gering sein. Doch ein Hang zu problematischen Features und ein sorgloser Umgang mit Sicherheitsproblemen führt dazu, dass diese Lücken viel schwerwiegender sind als nötig.

Tavis Ormandy wies darauf hin, dass sich diese Sicherheitslücken über den Thumbnailer des Evince-Dokumentenbetrachters ausnutzen lassen. Evince nutzt Ghostscript zur Darstellung von Postscript-Dateien und installiert sich systemweit als Thumbnail-Werkzeug für Postscript-Dateien. Unter dem Gnome-Dateimanager Nautilus werden solche Thumbnailer automatisch aufgerufen, wenn ein Verzeichnis mit einer entsprechenden Datei angezeigt wird.

Sprich: Damit für ein selten genutztes Dateiformat ein kleines Vorschaubild im Dateimanager angezeigt werden kann, geht man ein enormes Risiko ein. Ein Angreifer muss sein Opfer nur dazu bringen, eine entsprechende Datei in einem Verzeichnis abzulegen, das irgendwann im Dateimanager geöffnet wird.

Viele Parser werden automatisch aufgerufen

Evince ist nicht der einzige Parser für Thumbnails. Unter einer Standard-Ubuntu-Installation finden sich Thumbnail-Generatoren für Videos (Totem), Bilder (gdk-pixbuf), Fonts (gnome-font-viewer) und SVG-Dateien (librsvg). Jede Sicherheitslücke in einer dieser Komponenten könnte dazu führen, dass man extrem leicht einen Gnome-Nutzer angreifen kann.

Eine ganz ähnliche Problematik betrifft die Desktop-Suche Tracker. Darüber gab es vor zwei Jahren bereits einige Diskussionen.

Ubuntu deaktiviert Sandbox für Gnome

Um solche Angriffsszenarien zu vermeiden, unterstützt Gnome inzwischen eine Sandbox-Funktion für die Desktop-Suche und die Thumbnails, die mit der Software Bubblewrap. Nur genutzt wird das bislang kaum. Ubuntu hat die Bubblewrap-Funktion beispielsweise in der aktuellen Version abgeschaltet. Unter KDE gibt es bislang überhaupt keine entsprechenden Sandboxing-Bemühungen.

Unter Ubuntu versucht man, den Aufruf der Thumbnailer durch AppArmor etwas besser abzusichern. Doch Jann Horn, der ebenfalls für Project Zero arbeitet, konnte jetzt zeigen, dass sich die Policy einfach umgehen lässt. So verhinderte AppArmor im Fall des Evince-Thumbnailers Schreibzugriffe auf das Nutzerverzeichnis und Zugriffe auf Dbus.

Unter der Live-CD-Version von Ubuntu wird AppArmor gleich komplett abgeschaltet. Dass der Live-CD wichtige Sicherheitsfeatures fehlen, erfährt man bei Ubuntu nirgends.

Das Grundproblem ist ein grundsätzliches: Viele Entwickler haben die Neigung, möglichst viele Features zu unterstützen. Die Mentalität: Wenn für ein Dateiformat eine Bibliothek zur Verfügung steht - warum sollten wir die dann nicht nutzen? Die Sicherheit wird dabei selten beachtet.

Dass Ghostscript nicht sonderlich sicher ist, sollte niemanden überraschen. Postscript ist faktisch eine eigene Programmiersprache, die in vielfältiger Weise auch auf das Dateisystem zugreifen kann. Ghostscript unterstützt einen "Safer"-Modus, in dem solche Dateizugriffe unterbunden werden sollen, doch das funktioniert nur mäßig, Sicherheitslücken gab es darin schon öfter.

Unterstützung für häufig genutzte Formate würde reichen

Mit einer solch fragwürdigen Software automatisiert potenziell nicht vertrauenswürdige Dateien zu verarbeiten, ist sicher keine gute Idee.

Dabei stellt sich die Frage, warum das überhaupt nötig ist. Dass obskure Datenformate als Thumbnail angezeigt werden, mag eine nette Spielerei sein, das Risiko ist es aber sicher nicht wert. Es würde völlig ausreichen, die Thumbnail-Funktion für wenige, häufig genutzte Dateiformate anzubieten, für die robuste und gut getestete Softwarebibliotheken zur Verfügung stehen.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. ab 99,98€

Wuestenschiff 15. Okt 2018 / Themenstart

Also auf meinen Debian erstellt pcmanfm durchaus Vorschaubilder (mit i3 als desktop...

Truster 10. Okt 2018 / Themenstart

Yep, da war was: "Two Unicode symbols from the Telugu language can crash iPhones, iPads...

QDOS 09. Okt 2018 / Themenstart

Arbeite mal länger mit deren Compiler, dann kannst du das ziemlich gut einschätzen - die...

bombinho 06. Okt 2018 / Themenstart

Ja, ich muss zugeben, ich bin hier keine Referenz. Wer meint, mir Emails schicken zu...

DeathMD 06. Okt 2018 / Themenstart

Du glaubst, das wäre der einzige PDF Printer (der Name war übrigens ausgedacht) im Umlauf...

Kommentieren


Folgen Sie uns
       


Two Point Hospital - Golem.de live

Dr. Dr. Golem meldet sich zum Dienst und muss im Livestream unfassbar viele depressive Clowns heilen, nein - nicht die im Chat.

Two Point Hospital - Golem.de live Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


    Galaxy A9 im Hands on: Samsung bietet vier
    Galaxy A9 im Hands on
    Samsung bietet vier

    Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
    Ein Hands on von Tobias Költzsch

    1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
    2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
    3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

      •  /