DK-CERT: TEX kan bruges i angreb

Det udbredte formateringssprog TEX kan misbruges til flere slags angreb, skriver Shehzad Ahmad fra DK-CERT i denne måneds klumme om it-sikkerhed.

Artikel top billede

Kan du huske, da de første Word-makrovirus dukkede op?

Nu kan der ske noget lignende inden for TEX.

TEX er et udbredt sprog til at beskrive formateringen af en tekst, så den kan printes i pænt format.

Det er især udbredt inden for matematik og datalogi, men også andre akademiske retninger har taget TEX til sig.

TEX nøjes ikke med at beskrive fontstørrelser, kursiveret tekst og den slags. Sproget indeholder også makroer, der blandt andet kan foretage I/O-operationer.

Det har tre sikkerhedsforskere for nylig eksperimenteret med. Og deres opdagelser viser, at den akademiske verden bør være varsom med at opfatte TEX-filer som ufarlige datafiler.

En TEX-virus

Stephen Checkoway og Hovav Shacham fra University of California at San Diego og Eric Rescorla fra RTFM beskriver risikoen i artiklen "Are Text-Only Data Formats Safe? Or, Use This LATEX Class File to Pwn Your Computer."

En angriber kan afvikle programkode, inficere TEX-dokumenter med virus, få systemet til at gå ned eller få adgang til fortrolig information.

Alt sammen blot ved at bruge I/O-funktionerne i TEX.

I artiklen demonstrerer forskerne, hvordan de kan bygge en virus, der inficerer alle TEX-dokumenter på en Windows-pc med TEX-programmet MikTEX.

Det kræver blot, at man kompilerer en TEX-fil.

Endvidere har de eksperimenteret med online tjenester, der konverterer mellem TEX og andre formater. Her kan de bruge TEX til at læse filer, som ikke er i webserverens dokumenttræ.

Generelt konkluderer de, at risikoen er størst på Windows-platformen.

Her kan en angriber få fuld kontrol over systemet, mens risikoen i Unix-verdenen går på lækning af fortrolige data.

Ingen angreb endnu

Endnu har jeg ikke hørt om angreb, der udnytter sårbarheder i TEX i praksis.

Men de skal nok dukke op. Forskernes artikel viser, at man skal være varsom med filformater.

Vi har haft en tradition for at skelne mellem programfiler og datafiler.

Men datafiler som Word-dokumenter, PDF'er og nu også TEX-filer kan også være programmer.

Så sikkerhedsprogrammerne skal lære at parse endnu flere filtyper.

Og vi andre skal vænne os til ikke at regne noget for risikofrit, blot fordi det ligner en datafil.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S

Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

Alexander Hoffmann

GlobalConnect

Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

Daniel Eriksson

Sharp Consumer Electronics

WITRICS A/S har pr. 1. juli 2026 ansat Tim Meicker som Sales & Marketing Manager. Han skal især beskæftige sig med marketingstrategi, salgsaktiviteter, samt virksomhedens kommercielle vækst. Han kommer fra en stilling som projektansat hos WITRICS A/S. Han er uddannet BA (hons) Strategic Management og MBA fra Syddansk Universitet. Nyt job

Tim Meicker

WITRICS A/S