Schwachstelle Zip Slip: Beim Entpacken ist Schadcode inklusive
Viele Coding-Bibliotheken sind beim Entpacken von Archiven angreifbar. Ist eine Attacke erfolgreich, könnte Schadcode auf Computer gelangen.
(Bild: Pixabay)
Die Sicherheitslücke Zip Slip klafft in vielen Open-Source-Programmier-Bibliotheken von beispielsweise Java und Go. Verwundbar sind die Code-Teile, die für das Entpacken von Archiven zuständig sind. Davor warnen Sicherheitsforscher von Snyk.
Problematisch dabei ist, dass viele Coding-Bibliotheken keine eigene Handhabe zum Umgang mit gepackten Archiven innehaben. So kam es dazu, dass für Zip Slip anfällige Code-Teile in verschiedenen Bibliotheken wiederverwertet wurden. Code von dieser Art finde sich auch auf der Entwicklungsplattform StackOverflow. Demzufolge ist davon auszugehen, dass viele Desktop-, Mobile- und Web-Apps anfällig für Zip-Slip-Angriffe sind.
Auf einer Github-Seite listen die Sicherheitsforscher betroffene Bibliotheken auf und geben Auskunft über tangierte Archiv-Formate. Schiebt ein Angreifer einem Opfer etwa ein präpariertes rar-Archiv unter, und kommt für das Entpacken eine verwundbare Bibliothek zum Einsatz, kann der Angriff in der Ausführung von Schadcode enden. Außerdem ist es vorstellbar, dass man über diesen Weg Dateien an einen anderen Ort als beabsichtigt entpackt, was letztlich im Überschreiben von wichtigen System-Dateien enden kann.
Eigene Software prüfen
Snyk gibt, die Schwachstelle schon früh an Verantwortliche kommuniziert zu haben, damit diese Zeit für die Entwicklung von Sicherheitsupdates haben. Erste Patches sind bereits erschienen. Software-Entwickler finden in einem technischen Paper weiterführende Infos, um Einschätzen zu können, ob ihr Code für Zip Slip anfällig ist. Zusätzlich stellen die Entwickler vorbereitete Archive zur Verfügung, mit denen Entwickler ihre Software auf Verwundbarkeit prüfen können. (des)
