Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Hacker Schwachstelle Shutterstock 591799040 700

Eine neue Sicherheitslücke ermöglicht es Hackern, Dateien in Archiven zu kompromittieren und den Speicherort der abgelegten Daten zu verändern. Im Extremfall können Angreifer so Systemdateien mit eigenen .exe-Dateien überschreiben und den Computer auf diesem Weg übernehmen oder unbrauchbar machen. Dazu müssen aber offenbar Adminrechte vorhanden sein.

 Betroffen sind Archive der Formate .zip, .tar, .jar, .war, .cpio, .apk, .rar und .7z. Einfallswege für eine derartige Manipulation gibt es viele, sei es über den Download eines neuen Programms, einen E-Mail-Anhang oder sogar über ein verunreinigtes Update. Das Problem ist schlicht, dass gezippte Dateien bei so vielen unterschiedlichen Gelegenheiten zum Einsatz kommen.

Zip Slip haben die Sicherheitsforscher von Snyk ihre Entdeckung genannt, die die Sicherheit von tausenden Open-Source-Programm-Bibliotheken bedroht. Betroffen sind u. a. Projekte von HP, Amazon, Oracle, Apache, Twitter und LinkedIn. Besonders Java-basierte Programme scheinen anfällig für Zip Slip zu sein, da es hier keine zentrale Bibliothek für das Entpacken von komprimierten Archiven gibt und die Entwickler den Programmen eigene Routinen für den Umgang mitgeben müssen. Werden diese dann wiederverwendet, verbreitet sich der Fehler immer weiter. Der Ursprung wird in unterschiedlichen Entwicklerbibliotheken von Oracle, Apache und weiteren Firmen vermutet.

Der Fehler liegt laut Snyk im Code für das Entpacken der Zip-Dateien. Hier werden manchmal Dateinamen nicht richtig geprüft oder Kommandos bereinigt. Dadurch entsteht eine sogenannte Path-Traversal-Lücke, bei der Angreifer den im Zip enthaltenen Code an einer anderen Stelle als vom Nutzer gewählt ablegen kann.

Aktuell muss man davon ausgehen, dass tausende Programme für Smartphones und Computer von Zip Slip betroffen sind, da auch auf der Entwicklerplattform StackOverflow entsprechend unsicherer Code gefunden wurde. Stack Overflow ist mit acht Millionen registrierten Nutzern eine der größten Plattformen für den Austausch zwischen Software-Entwicklern, dementsprechend oft werden die Inhalte gelesen und verwendet.

Die Sicherheitsforscher haben die Anbieter der betroffenen Programmbibliotheken rechtzeitig vor Veröffentlichung ihrer Ergebnisse informiert und die meisten haben bereits reagiert und Patches bereitgestellt. Das Problem ist nur, dass diese von den Anbietern der Kompressionssoftware auch integriert werden müssen. Das heißt, sie müssen Updates für ihre Programme bereitstellen, um die Sicherheitslücke nachhaltig zu schließen. Und dann muss im letzten Schritt auch der Nutzer des Programms selbst noch aktiv werden und das Update auf seinen Rechner einspielen. Auch das Surfen mit Adminrechten sollte man vermeiden, denn das macht es Schadsoftware deutlich schwerer, sich einzunisten. Bei der Neuinstallation von Programmen ist das freilich schwierig. Hier sollte man daher nur auf offizielle und geprüfte Quellen zurückgreifen.

8com.de

GRID LIST
Hacker

„Dear Joohn“ auf der Spur – Neue Angriffswelle der Sofacy Group

Wie Palo Alto Networks bereits kürzlich über das Cannon-Tool berichtet hatte, hat die…
Cyberangriffe

Neue Cyberangriffe auf Regierungen

McAfee Advanced Threat Research-Analysten haben eine neue globale Kampagne, die auf einen…
Tb W190 H80 Crop Int 28773ce6ebccd9323162fd11c9fd7dd5

Was erwartet uns im neuen Jahr?

Das Jahr neigt sich dem Ende zu und in der IT-Security-Branche ist es Zeit, Geschehnisse…
Tb W190 H80 Crop Int B34a63b800b442247f4ef4c805db59d1

IT-Risiken an die niemand denkt

NTT Security (Germany) warnt vor den Gefahren, die den Unternehmensnetzen durch…
Hacker

DarkVishnya: Beispiellose Cyberüberfälle auf Banken

Kaspersky Lab warnt Banken und Finanzinstitute vor einer heimtückischen…
Weihnachtsmann Dieb

Weihnachten: Ein Fest für Datendiebe

Der Online-Handel floriert zur Weihnachtszeit und wird gleichzeitig zum Schauplatz für…
Smarte News aus der IT-Welt