PostScript-Malware manipulates Print-Jobs

Gepostet vor 2 Monaten, 27 Tagen in #Design #Tech #Coding #Print #Security

Share: Twitter Facebook Mail

laserdrucker

Fefe hat gestern ein interessantes Sicherheits-Leck verlinkt mit dem lapidaren Satz: „Benutzt hier jemand Postscript-Drucker?“

This post is about manipulating and obtaining documents printed by other users, which can be accomplished by infecting the printer with PostScript malware. This vulnerability has presumably been present in *every PostScript printer* since 32 years as solely legitimate PostScript language constructs are abused. The attack can be performed by anyone who can print, for example through USB or network. It can even be carried out by a malicious website, using advanced cross-site printing techniques in combination with a novel technique we call `CORS spoofing' (see `Cross-Site Printing and CORS Spoofing' section). […] With the capability to hook into arbitrary PostScript operators it is possible to manipulate and access foreign print jobs.

Bildschirmfoto 2017-02-02 um 12.12.14

Ich habe jahrelang im Print gearbeitet und kenne mich mit PostScript ein bisschen aus und in meinen Augen geht es bei diesem Sicherheits-Leck um weitaus mehr, als ein paar Laserdrucker. PostScript ist Industriestandard der kompletten Print-Industrie, da geht es um die Belichtungsmaschinen von Druckplatten, Direct2Plate- und Direct2Print-Systeme, sogar um die Generierung von PDFs (der Acrobat Distiller backt „nur“ ein EPS [encapsulated Post Script] in einen Container, viel mehr passiert da nicht).

Ich kenn mich mit InfoSec-Kram nicht aus und der interessiert mich normalerweise auch nicht, möglicherweise übersehe ich hier etwas und noch dazu bin ich aus Print schon seit über 10 Jahren raus, aber das hier betrifft die meines Erachtens die Sicherheit so ungefähr sämtlicher Druckereien, inklusive der großen Verlage und ich schätze, dass PostScript nach wie vor die zentrale Seitenbeschreibungssprache der Druck-Industrie ist.

Wenn die Sicherheits-Lücke also, wie sie bei Seclists.org schreiben, tatsächlich seit 32 Jahren in allen PostScript-Druckern zu finden ist, weil man für diesen PS-Hack ausschließlich innerhalb derselben Programmiersprache bleibt, also bei allen Maschinen mit PostScript-Interpreter funktioniert, dann betrifft das – nun ja – die komplette Druckindustrie inklusive Großmaschinen und wahrscheinlich auch die Bundesdruckerei und spätestens ab hier haben dann alle richtig viel Spaß.

Obwohl, ich könnte mir frischgedruckte Euroscheine mit ’nem drübergelayerten EPS-Smiley echt gut vorstellen. Laserdrucker lol!

C64-Demo generates itself from Soundtrack

Gewinnerdemo der Revision 2017 von Linus Akesson, ein C64-Hack in 256 Bytes: A Mind is born. Ich verstehe ja noch…

Binary Keyboard

Nette Spielerei von Chris Johnston: „A two-button backlit mechanical keyboard that types ASCII values, one bit at a time.“ (via…

Don't work for Assholes, don't work with Assholes

Toller Typo-Print aus Erik Spiekermanns Letterpress-Studio p98a, gibt's hier im Shop. Nicht billig, aber geil. (Bild oben via Bunker Creative.)…

Digital-Uhr in Conways Game of Life

Großartig: Eine Digital-Uhr in John Horton Conways zweidimensionalen zellulären Automaten: Get the design from this gist. Copy the whole file…

A Banana Keytar and more from Stupid Hackathon: Inverted Eyetracker-Pong, Robot Porn Addict or the Shitty Sharpie Tattoo Gun)

Ein weiterer Fav vom Stupid Hackathon NYC 2017, die Banana-Keytar von Amanda Lange. Auch geil: der Twitter-Bot Robot Porn Addiction,…

Dwitter – Social-Network für JavaScript-Remixe

Dwitter, ein Social Network von Andreas Løve Selvik für visuelle Javascript-Experimente in 140 Zeichen mit eingebauter Remix-Option für jedes Code-Snippet.…

Finding Animal-Shapes in Noise

Michael Trott hat im Forum von Wolfram Alpha ein random Noise-Pic generiert, die Verdichtungen und Shapes im Noise isoliert, die…

The best Anagramm

Mark Dominus hat das beste Anagramm der englischen Sprache ausgerechnet. Dazu hat er die komplette Liste der Anagramme (der englischen…

./code--poetry

„This website displays a collection of twelve code poems, each written in the source code of a different programming language.…

Stupid Hacks from Stupid Hackathon Sweden

Vor ein paar Tagen ging der Stupid Hackathon Schweden zu Ende, hier eine Liste aller dort realisierten Projekte. Spontan mein…

Cool Coding Sticker: I hate Programming I love Programming!

I can relate. Gibt's auf Redbubble für 3 Euro. (via Sara Soueidan)