Artikel top billede

DK-CERT: TEX kan bruges i angreb

Det udbredte formateringssprog TEX kan misbruges til flere slags angreb, skriver Shehzad Ahmad fra DK-CERT i denne måneds klumme om it-sikkerhed.

Kan du huske, da de første Word-makrovirus dukkede op?

Nu kan der ske noget lignende inden for TEX.

TEX er et udbredt sprog til at beskrive formateringen af en tekst, så den kan printes i pænt format.

Det er især udbredt inden for matematik og datalogi, men også andre akademiske retninger har taget TEX til sig.

TEX nøjes ikke med at beskrive fontstørrelser, kursiveret tekst og den slags. Sproget indeholder også makroer, der blandt andet kan foretage I/O-operationer.

Det har tre sikkerhedsforskere for nylig eksperimenteret med. Og deres opdagelser viser, at den akademiske verden bør være varsom med at opfatte TEX-filer som ufarlige datafiler.

En TEX-virus

Stephen Checkoway og Hovav Shacham fra University of California at San Diego og Eric Rescorla fra RTFM beskriver risikoen i artiklen "Are Text-Only Data Formats Safe? Or, Use This LATEX Class File to Pwn Your Computer."

En angriber kan afvikle programkode, inficere TEX-dokumenter med virus, få systemet til at gå ned eller få adgang til fortrolig information.

Alt sammen blot ved at bruge I/O-funktionerne i TEX.

I artiklen demonstrerer forskerne, hvordan de kan bygge en virus, der inficerer alle TEX-dokumenter på en Windows-pc med TEX-programmet MikTEX.

Det kræver blot, at man kompilerer en TEX-fil.

Endvidere har de eksperimenteret med online tjenester, der konverterer mellem TEX og andre formater. Her kan de bruge TEX til at læse filer, som ikke er i webserverens dokumenttræ.

Generelt konkluderer de, at risikoen er størst på Windows-platformen.

Her kan en angriber få fuld kontrol over systemet, mens risikoen i Unix-verdenen går på lækning af fortrolige data.

Ingen angreb endnu

Endnu har jeg ikke hørt om angreb, der udnytter sårbarheder i TEX i praksis.

Men de skal nok dukke op. Forskernes artikel viser, at man skal være varsom med filformater.

Vi har haft en tradition for at skelne mellem programfiler og datafiler.

Men datafiler som Word-dokumenter, PDF'er og nu også TEX-filer kan også være programmer.

Så sikkerhedsprogrammerne skal lære at parse endnu flere filtyper.

Og vi andre skal vænne os til ikke at regne noget for risikofrit, blot fordi det ligner en datafil.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere