Abo
  • Services:

Desktops: Unnötige Sicherheitsrisiken mit Linux

Um Vorschaubilder von obskuren Datenformaten anzeigen zu lassen, gehen Entwickler von Linux-Desktops enorme Sicherheitsrisiken ein. Das ist ärgerlich und wäre nicht nötig.

Ein IMHO von Hanno Böck veröffentlicht am
Der Linux-Desktop als sichere Alternative? Unser Autor würde das gern empfehlen, aber die Community tut nicht genug in Sachen IT-Sicherheit.
Der Linux-Desktop als sichere Alternative? Unser Autor würde das gern empfehlen, aber die Community tut nicht genug in Sachen IT-Sicherheit. (Bild: Larry Ewing / Modifikation: Hanno Böck)

Linux-Desktops gelten vielen als sichere Alternative zu Windows. Doch leider ist Linux in Sachen Sicherheit schlechter als sein Ruf. Einige kürzlich in der Software Ghostscript entdeckten Sicherheitslücken zeigen das einmal mehr.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

Tavis Ormandy, der für Googles Project Zero nach Sicherheitslücken sucht, hatte mehrere gravierende Probleme in Ghostscript entdeckt. Eigentlich keine große Sache, sollte man meinen: Ghostscript ist eine Software zum Parsen und Anzeigen von Postscript-Dateien. Postscript-Dateien werden heutzutage nur noch selten verwendet.

Thumbnailer ruft Ghostscript indirekt automatisch auf

Die Zahl der Nutzer, die Ghostscript selbst aufrufen, dürfte entsprechend gering sein. Doch ein Hang zu problematischen Features und ein sorgloser Umgang mit Sicherheitsproblemen führt dazu, dass diese Lücken viel schwerwiegender sind als nötig.

Tavis Ormandy wies darauf hin, dass sich diese Sicherheitslücken über den Thumbnailer des Evince-Dokumentenbetrachters ausnutzen lassen. Evince nutzt Ghostscript zur Darstellung von Postscript-Dateien und installiert sich systemweit als Thumbnail-Werkzeug für Postscript-Dateien. Unter dem Gnome-Dateimanager Nautilus werden solche Thumbnailer automatisch aufgerufen, wenn ein Verzeichnis mit einer entsprechenden Datei angezeigt wird.

Sprich: Damit für ein selten genutztes Dateiformat ein kleines Vorschaubild im Dateimanager angezeigt werden kann, geht man ein enormes Risiko ein. Ein Angreifer muss sein Opfer nur dazu bringen, eine entsprechende Datei in einem Verzeichnis abzulegen, das irgendwann im Dateimanager geöffnet wird.

Viele Parser werden automatisch aufgerufen

Evince ist nicht der einzige Parser für Thumbnails. Unter einer Standard-Ubuntu-Installation finden sich Thumbnail-Generatoren für Videos (Totem), Bilder (gdk-pixbuf), Fonts (gnome-font-viewer) und SVG-Dateien (librsvg). Jede Sicherheitslücke in einer dieser Komponenten könnte dazu führen, dass man extrem leicht einen Gnome-Nutzer angreifen kann.

Eine ganz ähnliche Problematik betrifft die Desktop-Suche Tracker. Darüber gab es vor zwei Jahren bereits einige Diskussionen.

Ubuntu deaktiviert Sandbox für Gnome

Um solche Angriffsszenarien zu vermeiden, unterstützt Gnome inzwischen eine Sandbox-Funktion für die Desktop-Suche und die Thumbnails, die mit der Software Bubblewrap. Nur genutzt wird das bislang kaum. Ubuntu hat die Bubblewrap-Funktion beispielsweise in der aktuellen Version abgeschaltet. Unter KDE gibt es bislang überhaupt keine entsprechenden Sandboxing-Bemühungen.

Unter Ubuntu versucht man, den Aufruf der Thumbnailer durch AppArmor etwas besser abzusichern. Doch Jann Horn, der ebenfalls für Project Zero arbeitet, konnte jetzt zeigen, dass sich die Policy einfach umgehen lässt. So verhinderte AppArmor im Fall des Evince-Thumbnailers Schreibzugriffe auf das Nutzerverzeichnis und Zugriffe auf Dbus.

Unter der Live-CD-Version von Ubuntu wird AppArmor gleich komplett abgeschaltet. Dass der Live-CD wichtige Sicherheitsfeatures fehlen, erfährt man bei Ubuntu nirgends.

Das Grundproblem ist ein grundsätzliches: Viele Entwickler haben die Neigung, möglichst viele Features zu unterstützen. Die Mentalität: Wenn für ein Dateiformat eine Bibliothek zur Verfügung steht - warum sollten wir die dann nicht nutzen? Die Sicherheit wird dabei selten beachtet.

Dass Ghostscript nicht sonderlich sicher ist, sollte niemanden überraschen. Postscript ist faktisch eine eigene Programmiersprache, die in vielfältiger Weise auch auf das Dateisystem zugreifen kann. Ghostscript unterstützt einen "Safer"-Modus, in dem solche Dateizugriffe unterbunden werden sollen, doch das funktioniert nur mäßig, Sicherheitslücken gab es darin schon öfter.

Unterstützung für häufig genutzte Formate würde reichen

Mit einer solch fragwürdigen Software automatisiert potenziell nicht vertrauenswürdige Dateien zu verarbeiten, ist sicher keine gute Idee.

Dabei stellt sich die Frage, warum das überhaupt nötig ist. Dass obskure Datenformate als Thumbnail angezeigt werden, mag eine nette Spielerei sein, das Risiko ist es aber sicher nicht wert. Es würde völlig ausreichen, die Thumbnail-Funktion für wenige, häufig genutzte Dateiformate anzubieten, für die robuste und gut getestete Softwarebibliotheken zur Verfügung stehen.



Anzeige
Top-Angebote
  1. (u. a. TV-Angebote von Sony, LG und Philips)
  2. 129€ (Bestpreis!)
  3. 259,90€ + Versand (Bestpreis!)
  4. 299€ + Versand (Bestpreis!)

guenther62 22. Okt 2018

Leider fehlt hier der Hinweis, was unter Linux obskure Datenformate sind. Da die Linux...

Wuestenschiff 15. Okt 2018

Also auf meinen Debian erstellt pcmanfm durchaus Vorschaubilder (mit i3 als desktop...

Truster 10. Okt 2018

Yep, da war was: "Two Unicode symbols from the Telugu language can crash iPhones, iPads...

QDOS 09. Okt 2018

Arbeite mal länger mit deren Compiler, dann kannst du das ziemlich gut einschätzen - die...

bombinho 06. Okt 2018

Ja, ich muss zugeben, ich bin hier keine Referenz. Wer meint, mir Emails schicken zu...


Folgen Sie uns
       


Corsair K70 RGB Mk. 2 und Roccat Vulcan - Fazit

Corsairs K70 RGB Mk. 2 ist seit kurzem mit Cherrys neuen Low-Profile-Switches erhältlich - in einer exklusiven Version mit nur 1 mm kurzen Auslöseweg. Wir haben die Tastatur mit der Vulcan von Roccat verglichen, die mit selbst entwickelten Titan-Switches bestückt ist.

Corsair K70 RGB Mk. 2 und Roccat Vulcan - Fazit Video aufrufen
Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
Need for Speed 3 Hot Pursuit (1998)
El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
Von Michael Wieczorek

  1. Playstation Classic im Test Sony schlampt, aber Rettung naht

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

    •  /