XML-Parser Expat ermöglicht Angreifern Einschleusen von Schadcode

Die Entwickler der quelloffenen XML-Parser-Bibliothek Expat (libexpat) haben eine kritische Sicherheitslücke geschlossen, die Angreifern das Einschleusen und Ausführen von Schadcode ermöglicht (CVE-2022-23852, CVSS 9.8 laut National Vulnerability Database, Risikoeinstufung kritisch). Die Bibliothek wird von zahlreichen Projekten genutzt, weshalb viele Systeme dadurch verwundbar sind.

Mit der aktualisierten Fassung Expat 2.4.4 bessern die Entwickler die Schwachstelle aus – das neue Quellcode-Paket ist jedoch noch in Vorbereitung und erscheint erst in Kürze. Ob die Lücke bereits von Angreifern missbraucht wird, ist unklar. Es gibt jedoch noch keine Meldungen dazu. Aufgrund der öffentlichen Verfügbarkeit der Information dürfte das jedoch lediglich eine Frage des wann, nicht des ob sein.

Weitreichende Auswirkungen

Da Expat in zahlreichen anderen Projekten enthalten ist, unter anderem im Apache Webserver, in Firefox und Thunderbird oder Interpretern wie Perl, Python und PHP, trifft die Schwachstelle potenziell zahlreiche Nutzer und Administratoren. Vorstellbar wäre, dass Angreifer sie beispielsweise mit bösartig präparierten XML-Dokumenten ausnutzen könnten.

Die kritische Sicherheitslücke selbst basiert auf einem Integer-Überlauf in der Funktion XML_GetBuffer. Der könne auftreten, wenn der Parameter XML_CONTEXT_BYTES als größer 0 definiert ist – was laut der Expat-Entwickler üblich und die standardmäßige Einstellung ist.

Eine weitere Schwachstelle betrifft laut Changelog von Expat 2.4.4 die Funktion doProlog (CVE-2022-23990, CVSS bei SuSE etwa 4, niedrig). Auch hier kann ein Integer-Überlauf etwa zu einem Denial-Service oder weiter reichendes führen.

Update-Lage

Zahlreiche Linux-Distributionen haben die Schwachstelle im Blick. SuSE etwa listet sehr viele betroffene Versionen auf, schätzt jedoch das Risiko lediglich als hoch mit einem CVSS von 8.1 ein. Red Hat liefert keinen konkreten Wert, sondern schätzt das Risiko als mittel ein; Gentoo etwa scheint nur bei einer von den zwei Lücken genauer hingeschaut zu haben und landet daher bei der Einstufung "normal minderschwer".

In der Ubuntu-Liste betroffener Pakete finden sich auch Firefox und Thunderbird. In den Changelogs der jüngsten Versionen von beiden Programmen fehlen Hinweise auf die Expat-Schwachstelle. Aktualisierte Pakete dürften in Kürze also für Linux-Distributionen, Webbrowser wie Firefox und Derivate davon, Mail-Clients wie Thunderbird und davon abgeleitete Projekte, und weitere Software verteilt werden.

Da libexpat so weit verbreitet ist, gibt es noch keine vollständige Liste betroffener Software. Nutzer und Administratoren sollten daher mit den Update-Mechanismen der eingesetzten Distribution respektive Software prüfen, ob Updates bereitstehen und diese zügig installieren.

(dmk)