Zip Slip bedroht tausende Programmbibliotheken

Eine neue Sicherheitslücke ermöglicht es Hackern, Dateien in Archiven zu kompromittieren und den Speicherort der abgelegten Daten zu verändern. Im Extremfall können Angreifer so Systemdateien mit eigenen .exe-Dateien überschreiben und den Computer auf diesem Weg übernehmen oder unbrauchbar machen. Dazu müssen aber offenbar Adminrechte vorhanden sein.

 Betroffen sind Archive der Formate .zip, .tar, .jar, .war, .cpio, .apk, .rar und .7z. Einfallswege für eine derartige Manipulation gibt es viele, sei es über den Download eines neuen Programms, einen E-Mail-Anhang oder sogar über ein verunreinigtes Update. Das Problem ist schlicht, dass gezippte Dateien bei so vielen unterschiedlichen Gelegenheiten zum Einsatz kommen.

Anzeige

Zip Slip haben die Sicherheitsforscher von Snyk ihre Entdeckung genannt, die die Sicherheit von tausenden Open-Source-Programm-Bibliotheken bedroht. Betroffen sind u. a. Projekte von HP, Amazon, Oracle, Apache, Twitter und LinkedIn. Besonders Java-basierte Programme scheinen anfällig für Zip Slip zu sein, da es hier keine zentrale Bibliothek für das Entpacken von komprimierten Archiven gibt und die Entwickler den Programmen eigene Routinen für den Umgang mitgeben müssen. Werden diese dann wiederverwendet, verbreitet sich der Fehler immer weiter. Der Ursprung wird in unterschiedlichen Entwicklerbibliotheken von Oracle, Apache und weiteren Firmen vermutet.

Der Fehler liegt laut Snyk im Code für das Entpacken der Zip-Dateien. Hier werden manchmal Dateinamen nicht richtig geprüft oder Kommandos bereinigt. Dadurch entsteht eine sogenannte Path-Traversal-Lücke, bei der Angreifer den im Zip enthaltenen Code an einer anderen Stelle als vom Nutzer gewählt ablegen kann.

Aktuell muss man davon ausgehen, dass tausende Programme für Smartphones und Computer von Zip Slip betroffen sind, da auch auf der Entwicklerplattform StackOverflow entsprechend unsicherer Code gefunden wurde. Stack Overflow ist mit acht Millionen registrierten Nutzern eine der größten Plattformen für den Austausch zwischen Software-Entwicklern, dementsprechend oft werden die Inhalte gelesen und verwendet.

Die Sicherheitsforscher haben die Anbieter der betroffenen Programmbibliotheken rechtzeitig vor Veröffentlichung ihrer Ergebnisse informiert und die meisten haben bereits reagiert und Patches bereitgestellt. Das Problem ist nur, dass diese von den Anbietern der Kompressionssoftware auch integriert werden müssen. Das heißt, sie müssen Updates für ihre Programme bereitstellen, um die Sicherheitslücke nachhaltig zu schließen. Und dann muss im letzten Schritt auch der Nutzer des Programms selbst noch aktiv werden und das Update auf seinen Rechner einspielen. Auch das Surfen mit Adminrechten sollte man vermeiden, denn das macht es Schadsoftware deutlich schwerer, sich einzunisten. Bei der Neuinstallation von Programmen ist das freilich schwierig. Hier sollte man daher nur auf offizielle und geprüfte Quellen zurückgreifen.

8com.de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.