Kan du huske, da de første Word-makrovirus dukkede op?
Nu kan der ske noget lignende inden for TEX.
TEX er et udbredt sprog til at beskrive formateringen af en tekst, så den kan printes i pænt format.
Det er især udbredt inden for matematik og datalogi, men også andre akademiske retninger har taget TEX til sig.
TEX nøjes ikke med at beskrive fontstørrelser, kursiveret tekst og den slags. Sproget indeholder også makroer, der blandt andet kan foretage I/O-operationer.
Det har tre sikkerhedsforskere for nylig eksperimenteret med. Og deres opdagelser viser, at den akademiske verden bør være varsom med at opfatte TEX-filer som ufarlige datafiler.
En TEX-virus
Stephen Checkoway og Hovav Shacham fra University of California at San Diego og Eric Rescorla fra RTFM beskriver risikoen i artiklen "Are Text-Only Data Formats Safe? Or, Use This LATEX Class File to Pwn Your Computer."
En angriber kan afvikle programkode, inficere TEX-dokumenter med virus, få systemet til at gå ned eller få adgang til fortrolig information.
Alt sammen blot ved at bruge I/O-funktionerne i TEX.
I artiklen demonstrerer forskerne, hvordan de kan bygge en virus, der inficerer alle TEX-dokumenter på en Windows-pc med TEX-programmet MikTEX.
Det kræver blot, at man kompilerer en TEX-fil.
Endvidere har de eksperimenteret med online tjenester, der konverterer mellem TEX og andre formater. Her kan de bruge TEX til at læse filer, som ikke er i webserverens dokumenttræ.
Generelt konkluderer de, at risikoen er størst på Windows-platformen.
Her kan en angriber få fuld kontrol over systemet, mens risikoen i Unix-verdenen går på lækning af fortrolige data.
Ingen angreb endnu
Endnu har jeg ikke hørt om angreb, der udnytter sårbarheder i TEX i praksis.
Men de skal nok dukke op. Forskernes artikel viser, at man skal være varsom med filformater.
Vi har haft en tradition for at skelne mellem programfiler og datafiler.
Men datafiler som Word-dokumenter, PDF'er og nu også TEX-filer kan også være programmer.
Så sikkerhedsprogrammerne skal lære at parse endnu flere filtyper.
Og vi andre skal vænne os til ikke at regne noget for risikofrit, blot fordi det ligner en datafil.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.
Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
