Kritische Schwachstelle
Präparierte TrueType-Schrift gefährdet PCs
publiziert: Dienstag, 16. Feb 2016 / 09:40 Uhr
Das wahrscheinlich interessanteste Angriffsziel ist Firefox.
Das wahrscheinlich interessanteste Angriffsziel ist Firefox.

Security-Sparte Talos hat mehrere Schwachstellen in der Bibliothek «Libgraphite» entdeckt, die der Darstellung von TrueType-Schriften dient.

Diese Bibliothek kommt in bekannten Anwendungen von Microsofts WordPad über OpenOffice bis hin zu Firefox zum Einsatz. Gerade über den Browser könnten Hacker das massiv ausnutzen. Denn es ist denkbar, mit einer geeignet präparierten Schriftart auf einem gekaperten Webserver beliebigen Code auf den Rechnern von Usern auszuführen.

Böse Schrift auf Server

TrueType-Schriften (Dateiendung .TTF) sind die heute gängigsten Schriftarten für die Bildschirmdarstellung und unter Windows, OS X und Linux entsprechend verbreitet. Viele Anwendungen nutzen für die Darstellung die Bibliothek Libgraphite, in der Talos nun vier Schwachstellen gefunden hat. Um eine davon auszunutzen, muss ein Angreifer die Nutzer dazu bekommen, in einem die Bibliothek nutzenden Programm eine Seite mit einer präparierten Schriftart darzustellen. Das wahrscheinlich interessanteste Angriffsziel dafür ist Firefox.

Seit Version 11 unterstützt der Mozilla-Browser laut Talos nämlich die Graphite-Darstellung von serverseitigen Schriftarten. «Ein Angreifer könnte leicht einen Server kompromittieren und dann eine speziell gefertigte Schrift ausliefern, wenn ein Nutzer eine Seite vom Server darstellt», warnt der Talos-Blog. So könnte der Hacker versuchen, beliebige Operationen auf dem Rechner des Firefox-Nutzers auszuführen. Da bereits bekannt ist, dass ein Angreifer auch aus der virtuellen Maschine für die TTF-Darstellung ausbrechen könnte, scheint diese Lücke besonders kritisch.

Denial-of-Service-Angriffe

Die weiteren Schwachstellen in Libgraphite, die laut Talos in Version 2-1.2.4 der Bibliothek nachgewiesen wurden, erfordern auch den Versuch, eine präparierte Schriftart darzustellen. Es handelt sich um einen ausnutzbaren Überlauffehler sowie zwei Lücken, die letztlich für Denial-of-Service-Zwecke missbraucht werden könnten. Zu den damit gefährdeten Programmen macht das Unternehmen wenig genaue Angaben, einzig Firefox 31 wird explizit genannt.

(arc/pte)

?
Facebook
SMS
SMS
0
Forum
Die professionelle und zeitgemässe Zweifaktor-Authentisierung
Internet Datensafe Lösungen
DSwiss AG
Badenerstrasse 281
8003 Zürich
Passwort: Botnetze nutzen Wiederverwendung.
Passwort: Botnetze nutzen Wiederverwendung.
Cybercrime-Ansatz probiert geklaute Login-Daten auf Banking-Seiten  Wenn User das gleiche Passwort bei verschiedenen Web-Angeboten nutzen, kann sich das bitter rächen. Denn mittlerweile gibt es Botnetze, die sich genau diesen Leichtsinn zunutze machen. 
Skandal um US-Promis  Los Angeles - Ein 36-jähriger US-Amerikaner, der sich illegal Zugang zu E-Mail-Konten ...
Verdächtiger nach Nacktfoto-Skandal festgenommen Los Angeles - Im Skandal um illegal verbreitete Nacktfotos von Prominenten ist in den USA ein Tatverdächtiger festgenommen ...
Jennifer Lawrences Hacker muss mit 5 Jahren Haft rechnen Jennifer Lawrence (25) und viele ihrer Kolleginnen schauen derzeit gebannt nach Kalifornien.
Promis wie Jennifer Lawrence, Kate Upton, Kim Kardashian und Ariana Grande waren Opfer der Hacker-Attacke.
Ransomware wird immer populärer - ESET-Ratgeber gibt Privatanwendern & Unternehmen Tipps an die Hand  Der europäische Security-Software-Hersteller ESET veröffentlicht einen kostenfreien Leitfaden zum Schutz vor heimtückischen Erpressungs-Trojanern wie TeslaCrypt oder CryptoLocker.  
DIGITAL LIFESTYLE: OFT GELESEN
Markierung: Mobile Data rekonstruiert Epidemien.
eGadgets Standort-Freigabe: Daten für Epidemie-Simulation Die mit einer Simulations-Software ...
Domain Namen registrieren
Domain Name Registration
Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...
Domainsuche starten:


ICT-Security - von der Strategie bis zur Umsetzung
Digitale Zertifikate der wichtigsten Anbieter zu Top-Preisen: SSL, Code ...
GlobalProtec GmbH
Route de la Gravière 18
1782 Cormagens
 
Wettbewerb
   
Die Alp Grosser Mittelberg im Justistal.
Viel Glück  Die Alpsaison steht vor der Tür. Damit Wanderfreunde den Weg zu den schönsten Alpbeizli finden, haben wir ein Gewinnspiel parat.
Mitmachen und gewinnen.  Rechtzeitig zur Premiere von «The First Avenger: Civil War» verlosen wir zwei Fan-Pakete mit jeweils zwei Kinoeintritten.
Stellenmarkt.ch
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Di Mi
Zürich 13°C 19°C bewölkt, etwas Regenleicht bewölkt, ueberwiegend sonnig Wolkenfelder, kaum Regen Wolkenfelder, kaum Regen
Basel 13°C 19°C bewölkt, etwas Regenleicht bewölkt, ueberwiegend sonnig Wolkenfelder, kaum Regen Wolkenfelder, kaum Regen
St. Gallen 12°C 17°C bewölkt, etwas Regenleicht bewölkt, ueberwiegend sonnig bewölkt, etwas Regen Wolkenfelder, kaum Regen
Bern 12°C 19°C bewölkt, etwas Regenleicht bewölkt, ueberwiegend sonnig Wolkenfelder, kaum Regen bewölkt, etwas Regen
Luzern 14°C 18°C Gewitter möglichleicht bewölkt, ueberwiegend sonnig bewölkt, etwas Regen Wolkenfelder, kaum Regen
Genf 12°C 19°C stark bewölkt, Regenleicht bewölkt, ueberwiegend sonnig bewölkt, etwas Regen wechselnd bewölkt
Lugano 13°C 20°C Gewitter möglichleicht bewölkt, ueberwiegend sonnig Gewitter möglich Gewitter möglich
mehr Wetter von über 8 Millionen Orten