PostScript-Malware manipulates Print-Jobs

Gepostet vor 23 Tagen in #Design #Tech #Coding #Print #Security

Share: Twitter Facebook Mail

laserdrucker

Fefe hat gestern ein interessantes Sicherheits-Leck verlinkt mit dem lapidaren Satz: „Benutzt hier jemand Postscript-Drucker?“

This post is about manipulating and obtaining documents printed by other users, which can be accomplished by infecting the printer with PostScript malware. This vulnerability has presumably been present in *every PostScript printer* since 32 years as solely legitimate PostScript language constructs are abused. The attack can be performed by anyone who can print, for example through USB or network. It can even be carried out by a malicious website, using advanced cross-site printing techniques in combination with a novel technique we call `CORS spoofing' (see `Cross-Site Printing and CORS Spoofing' section). […] With the capability to hook into arbitrary PostScript operators it is possible to manipulate and access foreign print jobs.

Bildschirmfoto 2017-02-02 um 12.12.14

Ich habe jahrelang im Print gearbeitet und kenne mich mit PostScript ein bisschen aus und in meinen Augen geht es bei diesem Sicherheits-Leck um weitaus mehr, als ein paar Laserdrucker. PostScript ist Industriestandard der kompletten Print-Industrie, da geht es um die Belichtungsmaschinen von Druckplatten, Direct2Plate- und Direct2Print-Systeme, sogar um die Generierung von PDFs (der Acrobat Distiller backt „nur“ ein EPS [encapsulated Post Script] in einen Container, viel mehr passiert da nicht).

Ich kenn mich mit InfoSec-Kram nicht aus und der interessiert mich normalerweise auch nicht, möglicherweise übersehe ich hier etwas und noch dazu bin ich aus Print schon seit über 10 Jahren raus, aber das hier betrifft die meines Erachtens die Sicherheit so ungefähr sämtlicher Druckereien, inklusive der großen Verlage und ich schätze, dass PostScript nach wie vor die zentrale Seitenbeschreibungssprache der Druck-Industrie ist.

Wenn die Sicherheits-Lücke also, wie sie bei Seclists.org schreiben, tatsächlich seit 32 Jahren in allen PostScript-Druckern zu finden ist, weil man für diesen PS-Hack ausschließlich innerhalb derselben Programmiersprache bleibt, also bei allen Maschinen mit PostScript-Interpreter funktioniert, dann betrifft das – nun ja – die komplette Druckindustrie inklusive Großmaschinen und wahrscheinlich auch die Bundesdruckerei und spätestens ab hier haben dann alle richtig viel Spaß.

Obwohl, ich könnte mir frischgedruckte Euroscheine mit ’nem drübergelayerten EPS-Smiley echt gut vorstellen. Laserdrucker lol!

Stupid Hacks from Stupid Hackathon Sweden

Vor ein paar Tagen ging der Stupid Hackathon Schweden zu Ende, hier eine Liste aller dort realisierten Projekte. Spontan mein…

Cool Coding Sticker: I hate Programming I love Programming!

I can relate. Gibt's auf Redbubble für 3 Euro. (via Sara Soueidan)

Data Selfie

Ich lasse seit einer Woche das DataSelfie-Plugin von Data X laufen, das Teil dokumentiert und tracks die Datenspuren, die wir…

MuscularAnimeGirl[NSFW].jpg = IndustrialMusic.mp3

Cool Bug featuring „a muscular girl“.jpg, anime style („slighly NSFW“ [„it's the only sample I had“ – sure]) and Industrial…

Polyglot Inception = JPEG = CSS = JS = HTML

JS-Wizard Martin Kleppe hat ein JPG, ein Stylesheet, ein Javascript und ein HTML in dasselbe Textfile gebacken: Polyglot Inception4. Levels…

Algorithm watching Wolf of Wallstreet

Tolles Computervision-Experiment von Støj: An algorithm watching a movie trailer: „A program removing everything but the objects it recognises when…

Miniature-Playground for Captcha-Solving AIs

„I'm not a Robot“ my ass. Mini World of Bits ('MiniWoB') is a benchmark for reinforcement learning agents who interact…

How To build a Marvin the Depressed Reddit Bot in Python

Die Grünen fordern ja eine Transparenzpflicht für Social Bots. Ich hoffe inständig, dass jemand einen angemessenen Marvin-Bot für die Grünen…

Neural Network Names from the Future

Nate Parrott hat ein Neural Network auf 7500 Vornamen trainiert und generiert nun neue Namen aus der Zukunft, inklusive „…

Mechanical Sand-RAM

Schöne Arbeit von Ralf Baecker, ein mechanischer RAM, der Binärdaten mit Sandkörnern schreibt und damit ein bisschen Voodoo ausrechnet: Random…