PostScript-Malware manipulates Print-Jobs

Gepostet vor 6 Monaten, 21 Tagen in #Design #Tech #Coding #Print #Security

Share: Twitter Facebook Mail

laserdrucker

Fefe hat gestern ein interessantes Sicherheits-Leck verlinkt mit dem lapidaren Satz: „Benutzt hier jemand Postscript-Drucker?“

This post is about manipulating and obtaining documents printed by other users, which can be accomplished by infecting the printer with PostScript malware. This vulnerability has presumably been present in *every PostScript printer* since 32 years as solely legitimate PostScript language constructs are abused. The attack can be performed by anyone who can print, for example through USB or network. It can even be carried out by a malicious website, using advanced cross-site printing techniques in combination with a novel technique we call `CORS spoofing' (see `Cross-Site Printing and CORS Spoofing' section). […] With the capability to hook into arbitrary PostScript operators it is possible to manipulate and access foreign print jobs.

Bildschirmfoto 2017-02-02 um 12.12.14

Ich habe jahrelang im Print gearbeitet und kenne mich mit PostScript ein bisschen aus und in meinen Augen geht es bei diesem Sicherheits-Leck um weitaus mehr, als ein paar Laserdrucker. PostScript ist Industriestandard der kompletten Print-Industrie, da geht es um die Belichtungsmaschinen von Druckplatten, Direct2Plate- und Direct2Print-Systeme, sogar um die Generierung von PDFs (der Acrobat Distiller backt „nur“ ein EPS [encapsulated Post Script] in einen Container, viel mehr passiert da nicht).

Ich kenn mich mit InfoSec-Kram nicht aus und der interessiert mich normalerweise auch nicht, möglicherweise übersehe ich hier etwas und noch dazu bin ich aus Print schon seit über 10 Jahren raus, aber das hier betrifft die meines Erachtens die Sicherheit so ungefähr sämtlicher Druckereien, inklusive der großen Verlage und ich schätze, dass PostScript nach wie vor die zentrale Seitenbeschreibungssprache der Druck-Industrie ist.

Wenn die Sicherheits-Lücke also, wie sie bei Seclists.org schreiben, tatsächlich seit 32 Jahren in allen PostScript-Druckern zu finden ist, weil man für diesen PS-Hack ausschließlich innerhalb derselben Programmiersprache bleibt, also bei allen Maschinen mit PostScript-Interpreter funktioniert, dann betrifft das – nun ja – die komplette Druckindustrie inklusive Großmaschinen und wahrscheinlich auch die Bundesdruckerei und spätestens ab hier haben dann alle richtig viel Spaß.

Obwohl, ich könnte mir frischgedruckte Euroscheine mit ’nem drübergelayerten EPS-Smiley echt gut vorstellen. Laserdrucker lol!

Malware encoded in DNA hacks Gene-Sequencer

Ich hatte hier schon öfter über DNA als Speicher geschrieben, GIFs, ein OKGo-Album, Wikipedia-Kunst, Gedichte und sogar Urheberrechtsverletzungen wurden alle…

Monospaced Programming Fonts with Ligatures

Didn't know these exist, love it: Monospaced Programming Fonts with Ligatures. Three of the most interesting and thoughtful monospaced programming…

Stereographic Torus Knot

I'm not sure what's going on here but I like it: „This is very similar to Rise Up, though with…

Transparent Lockpick-Training-Set

Gestern für nen Dreißiger bestellt, weil ich mich schon mehr als einmal ausgesperrt habe und Schlüsseldienst zu teuer is: Lock…

3D-Rendering accepted as ID-Photo

Herr Raphaël Fabre hat ein 3D-Rendering als Passfoto eingereicht und ist damit durchgekommen. An den Haaren hätten sie's eigentlich erkennen…

Very Bad Volume Control Interfaces

Vor einer Woche postete Redditor Jacobone dieses Interface für Lautstärkeregelung von irgendeiner Win-App. Then this happened: r/ProgrammerHumor/search?q=volume&restrict_sr=on. Because ofcourse it…

Zalgo Droplet

A Javascript-Droplet „to invoke the hive-mind representing chaos. Invoking the feeling of chaos. With out order. The Nezperdian hive-mind of…

C64-Demo generates itself from Soundtrack

Gewinnerdemo der Revision 2017 von Linus Akesson, ein C64-Hack in 256 Bytes: A Mind is born. Ich verstehe ja noch…

Binary Keyboard

Nette Spielerei von Chris Johnston: „A two-button backlit mechanical keyboard that types ASCII values, one bit at a time.“ (via…

Don't work for Assholes, don't work with Assholes

Toller Typo-Print aus Erik Spiekermanns Letterpress-Studio p98a, gibt's hier im Shop. Nicht billig, aber geil. (Bild oben via Bunker Creative.)…

Digital-Uhr in Conways Game of Life

Großartig: Eine Digital-Uhr in John Horton Conways zweidimensionalen zellulären Automaten: Get the design from this gist. Copy the whole file…