Manipulierte Dateien verursachen Ausführung von Schadcode
Sicherheitsexperte Rhys Kidd hat eine Lücke in den Filesharing-Programmen BitTorrent[1] und µTorrent[2] entdeckt. Das veröffentlichte er in einem Bericht[3] auf seclists.org[4]. µTorrent hat den Fehler mit der Version 1.8[5] inzwischen beseitigt. Die aktuellen BitTorrent-Versionen weisen die Lücke nach wie vor auf. Dass beide Programme betroffen sind, liegt daran, dass BitTorrent regelmäßig Code von µTorrent übernimmt.
Mit Hilfe von modifizierten Torrent-Dateien, in denen das Created-by-Feld längere Zeichenketten verwendet, als die Spezifikation vorschreibt, kann ein Angreifer beliebigen Code ausführen. Die Lücke basiert auf einem klassischen Fehler. Die Entwickler verwenden die Funktion wcscat aus der C-Runtime-Library. Sie verbindet zwei Unicode-Strings, ohne zu prüfen, ob die Länge des vorgesehenen Puffers eingehalten wird. Nahezu jeder Compiler kennzeichnet Funktionen wie wcscat als "deprecated" und gibt in der Default-Einstellung eine Sicherheitswarnung aus.
Da Kidd die Lücke im Detail beschrieben hat, muss mit Zero-Day-Attacken gerechnet werden. Anwender von µTorrent sollten vor dem nächsten Download einer .torrent-Datei auf die Version 1.8 upgraden.
Anwender von BitTorrent sollten sehr vorsichtig sein, bis ein Patch verfügbar ist. Heruntergeladene .torrent-Dateien sollten zunächst auf ihre Größe untersucht werden. Liegt die Größe über 5000 Bytes, so kann von einer Verseuchung ausgegangen werden. In der Regel weisen .torrent-Dateien eine Größe unterhalb von 1000 Bytes auf.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/