Kritische Schwachstelle
Präparierte TrueType-Schrift gefährdet PCs
publiziert: Dienstag, 16. Feb 2016 / 09:40 Uhr
Das wahrscheinlich interessanteste Angriffsziel ist Firefox.
Das wahrscheinlich interessanteste Angriffsziel ist Firefox.

Security-Sparte Talos hat mehrere Schwachstellen in der Bibliothek «Libgraphite» entdeckt, die der Darstellung von TrueType-Schriften dient.

Diese Bibliothek kommt in bekannten Anwendungen von Microsofts WordPad über OpenOffice bis hin zu Firefox zum Einsatz. Gerade über den Browser könnten Hacker das massiv ausnutzen. Denn es ist denkbar, mit einer geeignet präparierten Schriftart auf einem gekaperten Webserver beliebigen Code auf den Rechnern von Usern auszuführen.

Böse Schrift auf Server

TrueType-Schriften (Dateiendung .TTF) sind die heute gängigsten Schriftarten für die Bildschirmdarstellung und unter Windows, OS X und Linux entsprechend verbreitet. Viele Anwendungen nutzen für die Darstellung die Bibliothek Libgraphite, in der Talos nun vier Schwachstellen gefunden hat. Um eine davon auszunutzen, muss ein Angreifer die Nutzer dazu bekommen, in einem die Bibliothek nutzenden Programm eine Seite mit einer präparierten Schriftart darzustellen. Das wahrscheinlich interessanteste Angriffsziel dafür ist Firefox.

Seit Version 11 unterstützt der Mozilla-Browser laut Talos nämlich die Graphite-Darstellung von serverseitigen Schriftarten. «Ein Angreifer könnte leicht einen Server kompromittieren und dann eine speziell gefertigte Schrift ausliefern, wenn ein Nutzer eine Seite vom Server darstellt», warnt der Talos-Blog. So könnte der Hacker versuchen, beliebige Operationen auf dem Rechner des Firefox-Nutzers auszuführen. Da bereits bekannt ist, dass ein Angreifer auch aus der virtuellen Maschine für die TTF-Darstellung ausbrechen könnte, scheint diese Lücke besonders kritisch.

Denial-of-Service-Angriffe

Die weiteren Schwachstellen in Libgraphite, die laut Talos in Version 2-1.2.4 der Bibliothek nachgewiesen wurden, erfordern auch den Versuch, eine präparierte Schriftart darzustellen. Es handelt sich um einen ausnutzbaren Überlauffehler sowie zwei Lücken, die letztlich für Denial-of-Service-Zwecke missbraucht werden könnten. Zu den damit gefährdeten Programmen macht das Unternehmen wenig genaue Angaben, einzig Firefox 31 wird explizit genannt.

(arc/pte)

?
Facebook
SMS
SMS
0
Forum
.
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 21
Durch eine App fanden Abtreibungsgegener raus, wo sich die Frauen befinden.
Durch eine App fanden Abtreibungsgegener ...
Geofencing machte es möglich  Boston - Abtreibungsgegner machen Frauen in US-Kliniken für Schwangerschaftsabbrüche neuerdings dank eines Location-Features der Agentur Copley Advertising direkt ausfindig und bombardieren sie mit entsprechenden Botschaften. mehr lesen 
Ransomware wird immer populärer - ESET-Ratgeber gibt Privatanwendern & Unternehmen Tipps an die Hand  Der europäische Security-Software-Hersteller ESET veröffentlicht einen kostenfreien Leitfaden zum Schutz vor heimtückischen Erpressungs-Trojanern wie TeslaCrypt ... mehr lesen
Ransomware-Leitfaden von ESET.
Passwort: Botnetze nutzen Wiederverwendung.
Cybercrime-Ansatz probiert geklaute Login-Daten auf Banking-Seiten  Wenn User das gleiche Passwort bei verschiedenen Web-Angeboten nutzen, kann sich das bitter rächen. ... mehr lesen  
.
eGadgets news.ch geht in Klausur Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in ... 21
Domain Namen registrieren
Domain Name Registration
Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...
Domainsuche starten:


 
Stellenmarkt.ch
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Di Mi
Zürich -1°C 15°C recht sonnigleicht bewölkt, ueberwiegend sonnig stark bewölkt, Regen Wolkenfelder, kaum Regen
Basel 1°C 16°C freundlichleicht bewölkt, ueberwiegend sonnig trüb und nass Wolkenfelder, kaum Regen
St. Gallen 5°C 12°C recht sonnigleicht bewölkt, ueberwiegend sonnig trüb und nass Wolkenfelder, kaum Regen
Bern -2°C 15°C recht sonnigleicht bewölkt, ueberwiegend sonnig trüb und nass Wolkenfelder, kaum Regen
Luzern 0°C 15°C recht sonnigleicht bewölkt, ueberwiegend sonnig stark bewölkt, Regen Wolkenfelder, kaum Regen
Genf 1°C 16°C recht sonnigleicht bewölkt, ueberwiegend sonnig stark bewölkt, Regen Wolkenfelder, kaum Regen
Lugano 5°C 11°C Wolkenfelder, kaum Regenleicht bewölkt, ueberwiegend sonnig anhaltender Regen recht sonnig
mehr Wetter von über 8 Millionen Orten