Abo
  • IT-Karriere:

Desktops: Unnötige Sicherheitsrisiken mit Linux

Um Vorschaubilder von obskuren Datenformaten anzeigen zu lassen, gehen Entwickler von Linux-Desktops enorme Sicherheitsrisiken ein. Das ist ärgerlich und wäre nicht nötig.

Ein IMHO von Hanno Böck veröffentlicht am
Der Linux-Desktop als sichere Alternative? Unser Autor würde das gern empfehlen, aber die Community tut nicht genug in Sachen IT-Sicherheit.
Der Linux-Desktop als sichere Alternative? Unser Autor würde das gern empfehlen, aber die Community tut nicht genug in Sachen IT-Sicherheit. (Bild: Larry Ewing / Modifikation: Hanno Böck)

Linux-Desktops gelten vielen als sichere Alternative zu Windows. Doch leider ist Linux in Sachen Sicherheit schlechter als sein Ruf. Einige kürzlich in der Software Ghostscript entdeckten Sicherheitslücken zeigen das einmal mehr.

Stellenmarkt
  1. Therapon 24, Nauheim
  2. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe

Tavis Ormandy, der für Googles Project Zero nach Sicherheitslücken sucht, hatte mehrere gravierende Probleme in Ghostscript entdeckt. Eigentlich keine große Sache, sollte man meinen: Ghostscript ist eine Software zum Parsen und Anzeigen von Postscript-Dateien. Postscript-Dateien werden heutzutage nur noch selten verwendet.

Thumbnailer ruft Ghostscript indirekt automatisch auf

Die Zahl der Nutzer, die Ghostscript selbst aufrufen, dürfte entsprechend gering sein. Doch ein Hang zu problematischen Features und ein sorgloser Umgang mit Sicherheitsproblemen führt dazu, dass diese Lücken viel schwerwiegender sind als nötig.

Tavis Ormandy wies darauf hin, dass sich diese Sicherheitslücken über den Thumbnailer des Evince-Dokumentenbetrachters ausnutzen lassen. Evince nutzt Ghostscript zur Darstellung von Postscript-Dateien und installiert sich systemweit als Thumbnail-Werkzeug für Postscript-Dateien. Unter dem Gnome-Dateimanager Nautilus werden solche Thumbnailer automatisch aufgerufen, wenn ein Verzeichnis mit einer entsprechenden Datei angezeigt wird.

Sprich: Damit für ein selten genutztes Dateiformat ein kleines Vorschaubild im Dateimanager angezeigt werden kann, geht man ein enormes Risiko ein. Ein Angreifer muss sein Opfer nur dazu bringen, eine entsprechende Datei in einem Verzeichnis abzulegen, das irgendwann im Dateimanager geöffnet wird.

Viele Parser werden automatisch aufgerufen

Evince ist nicht der einzige Parser für Thumbnails. Unter einer Standard-Ubuntu-Installation finden sich Thumbnail-Generatoren für Videos (Totem), Bilder (gdk-pixbuf), Fonts (gnome-font-viewer) und SVG-Dateien (librsvg). Jede Sicherheitslücke in einer dieser Komponenten könnte dazu führen, dass man extrem leicht einen Gnome-Nutzer angreifen kann.

Eine ganz ähnliche Problematik betrifft die Desktop-Suche Tracker. Darüber gab es vor zwei Jahren bereits einige Diskussionen.

Ubuntu deaktiviert Sandbox für Gnome

Um solche Angriffsszenarien zu vermeiden, unterstützt Gnome inzwischen eine Sandbox-Funktion für die Desktop-Suche und die Thumbnails, die mit der Software Bubblewrap. Nur genutzt wird das bislang kaum. Ubuntu hat die Bubblewrap-Funktion beispielsweise in der aktuellen Version abgeschaltet. Unter KDE gibt es bislang überhaupt keine entsprechenden Sandboxing-Bemühungen.

Unter Ubuntu versucht man, den Aufruf der Thumbnailer durch AppArmor etwas besser abzusichern. Doch Jann Horn, der ebenfalls für Project Zero arbeitet, konnte jetzt zeigen, dass sich die Policy einfach umgehen lässt. So verhinderte AppArmor im Fall des Evince-Thumbnailers Schreibzugriffe auf das Nutzerverzeichnis und Zugriffe auf Dbus.

Unter der Live-CD-Version von Ubuntu wird AppArmor gleich komplett abgeschaltet. Dass der Live-CD wichtige Sicherheitsfeatures fehlen, erfährt man bei Ubuntu nirgends.

Das Grundproblem ist ein grundsätzliches: Viele Entwickler haben die Neigung, möglichst viele Features zu unterstützen. Die Mentalität: Wenn für ein Dateiformat eine Bibliothek zur Verfügung steht - warum sollten wir die dann nicht nutzen? Die Sicherheit wird dabei selten beachtet.

Dass Ghostscript nicht sonderlich sicher ist, sollte niemanden überraschen. Postscript ist faktisch eine eigene Programmiersprache, die in vielfältiger Weise auch auf das Dateisystem zugreifen kann. Ghostscript unterstützt einen "Safer"-Modus, in dem solche Dateizugriffe unterbunden werden sollen, doch das funktioniert nur mäßig, Sicherheitslücken gab es darin schon öfter.

Unterstützung für häufig genutzte Formate würde reichen

Mit einer solch fragwürdigen Software automatisiert potenziell nicht vertrauenswürdige Dateien zu verarbeiten, ist sicher keine gute Idee.

Dabei stellt sich die Frage, warum das überhaupt nötig ist. Dass obskure Datenformate als Thumbnail angezeigt werden, mag eine nette Spielerei sein, das Risiko ist es aber sicher nicht wert. Es würde völlig ausreichen, die Thumbnail-Funktion für wenige, häufig genutzte Dateiformate anzubieten, für die robuste und gut getestete Softwarebibliotheken zur Verfügung stehen.



Anzeige
Top-Angebote
  1. (u. a. Benq 28 Zoll 4K UHD für 219,00€, AOC 27 Zoll Curved für 199,00€, Acer Predator 32 Zoll...
  2. 119,90€ (Bestpreis!)
  3. 89,90€ (Bestpreis!)
  4. 449,90€ (Release am 26. August)

guenther62 22. Okt 2018

Leider fehlt hier der Hinweis, was unter Linux obskure Datenformate sind. Da die Linux...

Wuestenschiff 15. Okt 2018

Also auf meinen Debian erstellt pcmanfm durchaus Vorschaubilder (mit i3 als desktop...

Truster 10. Okt 2018

Yep, da war was: "Two Unicode symbols from the Telugu language can crash iPhones, iPads...

QDOS 09. Okt 2018

Arbeite mal länger mit deren Compiler, dann kannst du das ziemlich gut einschätzen - die...

bombinho 06. Okt 2018

Ja, ich muss zugeben, ich bin hier keine Referenz. Wer meint, mir Emails schicken zu...


Folgen Sie uns
       


AMD Ryzen 9 3900X und Ryzen 7 3700X - Test

Wir testen den Ryzen 9 3900X mit zwölf Kernen und den Ryzen 7 3700X mit acht Kernen. Beide passen in den Sockel AM4, nutzen DDR4-3200-Speicher und basieren auf der Zen-2-Architektur mit 7-nm-Fertigung.

AMD Ryzen 9 3900X und Ryzen 7 3700X - Test Video aufrufen
Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

WEG-Gesetz: Bundesländer preschen bei Anspruch auf Ladestellen vor
WEG-Gesetz
Bundesländer preschen bei Anspruch auf Ladestellen vor

Können Elektroauto-Besitzer demnächst den Einbau einer Ladestelle in Tiefgaragen verlangen? Zwei Bundesländer haben entsprechende Ergebnisse einer Arbeitsgruppe schon in einem eigenen Gesetzentwurf aufgegriffen.
Eine Analyse von Friedhelm Greis

  1. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs
  2. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr
  3. Elektroautos GM und Volkswagen verabschieden sich vom klassischen Hybrid

    •  /