Diverse Software patzt beim Verarbeiten präparierter Archive
Nicht nur die Produkte von F-Secure, sondern die zahlreicher Hersteller und Entwickler weisen Sicherheitslücken auf, die beim Verarbeiten von manipulierten Archiven zur Ausführung von eingeschleustem Code führen können.
Das finnische Computer Emergency Response Team (CERT-FI) hat eine Sicherheitsmeldung zu Lücken in diversen Produkten herausgegeben, die beim Verarbeiten manipulierter Archive patzen. Angreifer könnten dadurch fremden Programmcode einschleusen. Die Lücken hat das CERT-FI zusammen mit der Universität Oulu mit einem Fuzzing-Werkzeug aufgespürt.
Gestern wurde bereits bekannt, dass F-Secure die Lücken in seinen Produkten abgedichtet hat. In der Sicherheitsmeldung des CERT-FI listet die Institution jedoch noch zahlreiche weitere verwundbare Hersteller und Produkte auf. Updates für die Lücken gibt es bereits von 7-zip (Version 4.5.7), bzip2 (1.0.5), Debian (libarchive), F-Secure, FreeBSD (libarchive), Gentoo (libarchive), RarLab (Version 3.71) und Suse (libarchive).
Zu den nicht verwundbaren Produkten und Herstellern gehören Aladdin, Apple, Citrix, Gfi, Microsoft, Oracle, S60Zip, Secgo und Symantec. Bei den weiteren Herstellern, die das CERT-FI auflistet, ist der Status noch nicht geklärt.
Die Schwachstellensuche mit Fuzzing, also dem Testen von zufälligen Werten für Parameter in den spezifizierten Dateiformaten, deckt in der Regel fehlende Überprüfungen auf gültige Benutzerangaben in den Verarbeitungsroutinen auf. Häufig lassen sich die damit entdeckten Lücken sogar zum Einschmuggeln von Schadcode missbrauchen. Bei den Produkten, für die die Hersteller bereits Updates anbieten, sollten Nutzer die Aktualisierungen so bald wie möglich einspielen.
Siehe dazu auch:
- CERT-FI and CPNI Joint Vulnerability Advisory on Archive Formats, Sicherheitsmeldung des CERT-FI
- PROTOS Genome Test Suite c10-archive, Fuzzing-Test der Universität Oulu
- Datensalat, Hintergrund-Artikel über Fuzzing auf heise Security
(dmk)
