Sicherheitslücke: Ghostscript-Lücken gefährden Imagemagick und Linux-Desktops

Der Postscript-Parser von Ghostscript ist nicht besonders sicher, er wird jedoch an zahlreichen Stellen automatisiert aufgerufen. Damit lassen sich etwa Bildkonvertierungen mittels Imagemagick oder Linux-Dateimanager angreifen.

Artikel veröffentlicht am , Hanno Böck
Ein Exploit für eine Sicherheitslücke in Ghostscript wird direkt ausgeführt, wenn man die Datei im Dateimanager Nautilus unter Ubuntu anzeigt.
Ein Exploit für eine Sicherheitslücke in Ghostscript wird direkt ausgeführt, wenn man die Datei im Dateimanager Nautilus unter Ubuntu anzeigt. (Bild: TOSHIFUMI KITAMURA/AFP/Getty Images)

Tavis Ormandy von Googles Project Zero hat auf zahlreiche Sicherheitslücken in der Software Ghostscript hingewiesen. Die Lücken ermöglichen es, Postscript-Dateien zu erzeugen, die bei der Verarbeitung mit Ghostscript Shell-Befehle ausführen. Ein Ausnutzen dieser Lücken ist damit ausgesprochen trivial.

Stellenmarkt
  1. Entwickler Elektronik und Kommunikationstechnik (IoT) (m/w/d)
    Gratz Engineering GmbH, Stuttgart
  2. Systemadministration (m/w/d) Netzwerke und IT-Sicherheit
    Fachhochschule Südwestfalen, Hagen, Meschede
Detailsuche

Postscript ist ein Format für Dokumente, das faktisch eine komplette Programmiersprache enthält. Ghostscript ist die einzige verbreitete Open-Source-Implementierung des Postscript-Formats. Doch um dessen Qualität ist es offenbar nicht sonderlich gut bestellt. Informationen über mindestens elf verschiedene Sicherheitslücken hat Ormandy inzwischen an die Entwickler weitergeleitet.

Imagemagick führt Ghostscript automatisch aus

Nur wenige Nutzer dürften regelmäßig Postscript-Dateien manuell öffnen. Doch das größte Risiko dieser Lücke sind automatisierte Systeme. So ruft etwa die populäre Software Imagemagick automatisch Ghostscript auf, wenn sie eine Postscript-Datei verarbeitet. Imagemagick wird häufig beispielsweise von Webservices verwendet, um Bilder zu skalieren.

Dabei funktioniert der Angriff selbst dann, wenn die Datei eine andere Endung - beispielsweise .jpg - hat, da Imagemagick versucht, das Dateiformat automatisch zu erkennen. In der Konsequenz heißt das, dass jeder Service, der ungeprüfte Dateien an Imagemagick weiterreicht, verwundbar ist.

Golem Akademie
  1. OpenShift Installation & Administration
    9.-11. August 2021, online
  2. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

Einen Fix gibt es bislang nicht, als Workaround kann man jedoch in Imagemagick über die Policy-Konfiguration den Aufruf von Ghostscript unterbinden. In einer Warnung des CERT/CC findet man hierfür eine Beispielkonfiguration.

Angriff auf Dateimanager über Thumbnails

Doch der Angriff über Imagemagick ist nur ein mögliches Szenario, ein weiteres sind Dateimanager unter Linux. In einem Test gelang es uns, mit einem der von Ormandy bereitgestellten Beispiel-Exploits sowohl in Gnomes Dateimanager Nautilus als auch in KDEs Dolphin Code auszuführen. Dafür reicht es, im Dateimanager ein Verzeichnis zu öffnen, in dem sich die entsprechend manipulierte Postscript-Datei befindet.

Der Hintergrund: Die Dateimanager versuchen mittels der entsprechenden Dokumenten-Anzeigeprogramme (Evince in Gnome, Okular in KDE) ein Thumbnail für Postscript-Dateien zu erzeugen. Beide Programme verwenden im Hintergrund zum Parsen der Postscript-Daten wiederum die Ghostscript-Software.

Dieses Angriffsszenario erinnert in gewisser Weise an frühere Probleme in Linux-Systemen. Es gibt eine ganze Reihe von Tools unter Linux, die zahlreiche externe Programme mit teilweise zweifelhafter Sicherheit automatisiert aufrufen, neben Dateimanagern gilt das beispielsweise auch für Desktop-Suchsysteme wie Tracker oder Baloo oder für das Kommandozeilentool less.

Ubuntu deaktiviert Gnome-Sandbox

In Gnome versucht man inzwischen, entsprechende Thumbnail-Prozesse mittels der Software Bubblewrap in eine Sandbox zu verbannen. In Ubuntu hat man diese Funktion aber offenbar abgeschaltet. In unseren Tests funktionierte der Exploit selbst mit der jüngsten Ubuntu-Version 18.04.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fifa, Battlefield und Co.
Der EA-Hack startete mit Cookies für 10 US-Dollar

Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
Artikel
  1. MIG: Scheuers Funkloch GmbH hat erst zwei Stellen besetzt
    MIG
    Scheuers Funkloch GmbH hat erst zwei Stellen besetzt

    Der Bundesverkehrsminister scheint kein Personal für die Mobilfunkinfrastrukturgesellschaft zu finden.

  2. Weltraumtourismus: Schwerelosigkeit für über 150.000 US-Dollar pro Sekunde
    Weltraumtourismus
    Schwerelosigkeit für über 150.000 US-Dollar pro Sekunde

    Das erste Ticket für einen Touristenflug mit der New Shepard Rakete wurde versteigert. Mit dabei: Eine Spritztour mit dem reichsten Mann der Welt.

  3. Ubisoft: Avatar statt Assassin's Creed
    Ubisoft
    Avatar statt Assassin's Creed

    E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

JouMxyzptlk 26. Aug 2018

Nur ging es bei Windows 95 gleich in's Internet. Bei Amiga und Atari nicht so. Erst an...

Milebrega 25. Aug 2018

Es ist egal, ob man 100 mal im Jahre oder nie Postscript-Dokumente verarbeitet - für das...

Proctrap 24. Aug 2018

Ich nutze gerne Linux, quasi für alles. Dennoch bzw. gerade deswegen hoffe ich dass es...

RicoBrassers 24. Aug 2018

Vermutlich sind die "großen" Anwendungen nicht betroffen, da das Problem nicht an...

FreiGeistler 24. Aug 2018

Schau mal nach einem Packet namens "thumbler" oder so (bin gerade unterwegs...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /