Windows-Packer kommen vom Pfad ab
StuffIt, ZipMagic, SpeedProject und WinACE entpacken RAR-, TAR- und ZIP-Archive nicht immer in die dafür vorgesehenen Verzeichnisse. So ist es durch die Manipulation der Pfade im Archiv möglich, die Dateien beim Entpacken an einem beliebigen Ort abzulegen
Nach dem Bekanntwerden der Sicherheitslücken in Red Hats tar-Version und dem Archivwerkzeug des GNU-Projekts hat es nun auch einige Windows-Packer erwischt. StuffIt, ZipMagic, SpeedProject und WinACE entpacken RAR-, TAR- und ZIP-Archive nicht immer in die dafür vorgesehenen Verzeichnisse. So ist es durch die Manipulation der Pfade im Archiv möglich, die Dateien an einen beliebigen Ort zu extrahieren. Denkbar ist etwa, dass ein Angreifer seinem Opfer eine ausführbare Datei durch so genanntes Directory Traversing in den Autostart-Ordner schummelt oder Dateien überschreibt – sofern der Anwender die Rechte dafür hat. Zwar muss das Opfer die Datei selbst auspacken, hinter einem ZIP- oder RAR-Archiv dürften aber die wenigsten etwas Böses vermuten.
Der Entdecker der Lücke, Hamid Ebadi, beschreibt in seinem Bericht detailliert, wie man die verschiedenen Archiv-Formate präparieren kann. Dazu legt er als Platzhalter einen Verzeichnisnamen an und ersetzt diesen im gepackten Archiv mittels Hex-Editor durch "/../.." Damit anschließend die Prüfsumme wieder stimmt, hat er eigens ein Tool zur Neuberechnung entwickelt, das er zum Download anbietet.
Ebadi hat die Lücke in SpeedCommander 11.0, ZipStar 5.1, Squeez 5.1, WinAce Archiver v2.6, StuffIt Standard und Deluxe 9.0, ZipMagic Deluxe 9.0 und StuffIt Expander entdeckt. Patches stehen derzeit noch nicht bereit. Anwender von Winzip 10.0 werden beim Expandieren immerhin noch darauf hingewiesen, dass das Archiv gefährliche "/.."-Pfade enthalte. Wer den Dialog aber mit Ja bestätigt, ist trotzdem reingefallen.
Siehe dazu auch: (dab)
- Directory traversal vulnerabilities in .zip .tar .rar, Fehlerbericht von Hamid Ebadi
