Kritische Schwachstelle
Präparierte TrueType-Schrift gefährdet PCs
publiziert: Dienstag, 16. Feb 2016 / 09:40 Uhr
Das wahrscheinlich interessanteste Angriffsziel ist Firefox.
Das wahrscheinlich interessanteste Angriffsziel ist Firefox.

Security-Sparte Talos hat mehrere Schwachstellen in der Bibliothek «Libgraphite» entdeckt, die der Darstellung von TrueType-Schriften dient.

Diese Bibliothek kommt in bekannten Anwendungen von Microsofts WordPad über OpenOffice bis hin zu Firefox zum Einsatz. Gerade über den Browser könnten Hacker das massiv ausnutzen. Denn es ist denkbar, mit einer geeignet präparierten Schriftart auf einem gekaperten Webserver beliebigen Code auf den Rechnern von Usern auszuführen.

Böse Schrift auf Server

TrueType-Schriften (Dateiendung .TTF) sind die heute gängigsten Schriftarten für die Bildschirmdarstellung und unter Windows, OS X und Linux entsprechend verbreitet. Viele Anwendungen nutzen für die Darstellung die Bibliothek Libgraphite, in der Talos nun vier Schwachstellen gefunden hat. Um eine davon auszunutzen, muss ein Angreifer die Nutzer dazu bekommen, in einem die Bibliothek nutzenden Programm eine Seite mit einer präparierten Schriftart darzustellen. Das wahrscheinlich interessanteste Angriffsziel dafür ist Firefox.

Seit Version 11 unterstützt der Mozilla-Browser laut Talos nämlich die Graphite-Darstellung von serverseitigen Schriftarten. «Ein Angreifer könnte leicht einen Server kompromittieren und dann eine speziell gefertigte Schrift ausliefern, wenn ein Nutzer eine Seite vom Server darstellt», warnt der Talos-Blog. So könnte der Hacker versuchen, beliebige Operationen auf dem Rechner des Firefox-Nutzers auszuführen. Da bereits bekannt ist, dass ein Angreifer auch aus der virtuellen Maschine für die TTF-Darstellung ausbrechen könnte, scheint diese Lücke besonders kritisch.

Denial-of-Service-Angriffe

Die weiteren Schwachstellen in Libgraphite, die laut Talos in Version 2-1.2.4 der Bibliothek nachgewiesen wurden, erfordern auch den Versuch, eine präparierte Schriftart darzustellen. Es handelt sich um einen ausnutzbaren Überlauffehler sowie zwei Lücken, die letztlich für Denial-of-Service-Zwecke missbraucht werden könnten. Zu den damit gefährdeten Programmen macht das Unternehmen wenig genaue Angaben, einzig Firefox 31 wird explizit genannt.

(arc/pte)

?
Facebook
SMS
SMS
0
Forum
.
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 21
Die Besucher erwarten zwei kompakte Tage, an denen sich alles um Digital Marketing und E-Business dreht.
Die Besucher erwarten zwei kompakte Tage, an denen sich ...
Swiss Online Marketing und Swiss eBusiness Expo  Swiss Online Marketing und Swiss eBusiness Expo sind das jährliche Gipfeltreffen für Digital Marketing und E-Business. Am 5. und 6. April 2017, auf der Messe Zürich, vermitteln die Messen einen umfassenden Marktüberblick. mehr lesen 
Was sind die Hausaufgaben für Schweizer Unternehmen bei der Digitalisierung?
Überleben im digitalen Haifischbecken Google, Post, Handel Schweiz, VSV, GS1: Am Mittwoch, den 5. April diskutieren Big Player und Marktexperten über das ...
Geofencing machte es möglich  Boston - Abtreibungsgegner machen Frauen in US-Kliniken für Schwangerschaftsabbrüche ... mehr lesen  
Durch eine App fanden Abtreibungsgegener raus, wo sich die Frauen befinden.
Ransomware-Leitfaden von ESET.
Ransomware wird immer populärer - ESET-Ratgeber gibt Privatanwendern & Unternehmen Tipps an die Hand  Der europäische Security-Software-Hersteller ESET veröffentlicht einen kostenfreien Leitfaden zum Schutz vor heimtückischen Erpressungs-Trojanern wie TeslaCrypt ... mehr lesen  
.
eGadgets news.ch geht in Klausur Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in ... 21
Domain Namen registrieren
Domain Name Registration
Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...
Domainsuche starten:


 
Stellenmarkt.ch
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Di Mi
Zürich 14°C 30°C vereinzelte Gewitterleicht bewölkt, ueberwiegend sonnig recht sonnig vereinzelte Gewitter
Basel 18°C 32°C vereinzelte Gewitterleicht bewölkt, ueberwiegend sonnig vereinzelte Gewitter vereinzelte Gewitter
St. Gallen 19°C 27°C gewitterhaftleicht bewölkt, ueberwiegend sonnig vereinzelte Gewitter gewitterhaft
Bern 16°C 29°C vereinzelte Gewitterleicht bewölkt, ueberwiegend sonnig freundlich gewitterhaft
Luzern 16°C 30°C vereinzelte Gewitterleicht bewölkt, ueberwiegend sonnig vereinzelte Gewitter gewitterhaft
Genf 15°C 30°C Wolkenfelder, kaum Regenleicht bewölkt, ueberwiegend sonnig recht sonnig gewitterhaft
Lugano 21°C 28°C recht sonnigleicht bewölkt, ueberwiegend sonnig recht sonnig Wolkenfelder, kaum Regen
mehr Wetter von über 8 Millionen Orten