Das Problem ist, dass es sich bei diesem Bug um einen sehr fundamentalen Fehler handelt, der durch die blinde Wiederverwendung des ZIP-Bibliothekscodes von übereilt vorgehenden Programmierern noch verschlimmert wurde. („Nimm einfach diese ZIP-Bibliothek! Mach dir keine Gedanken darüber, wie das Ding funktioniert – ich will den Code morgen früh auf meinem Tisch haben!“). Das führte zu einer unangenehmen Lektion, die lange gelernt werden musste.
Probleme mit Kompressionsbibliotheken tauchen oft auf, wie zum Beispiel der vor kurzem festgestellte Compression Bug in der Open-Source-zlib-Bibliothek, der zugewiesenen Speicherplatz zweifach frei machte. Das Problem ist, dass zahllose Closed-Source-Softwarepakete Konzepte und Code aus der Open-Source-zlib-Bibliothek entliehen haben. Mit ein bisschen Sucharbeit gibt es bei Open-Source-Software noch eine gewisse Hoffnung, die Sicherheitslücke zu finden, aber bei Closed-Source-Produkten ist das ein echter Albtraum, es sei denn, die Anbieter kümmern sich darum. Und jede Menge Anbieter haben die ZIP-komprimierten Formate für ihre Softwarepakete verwendet. Sie werden es schwer haben herauszufinden, wer welche Bibliotheken verwendet oder wer seine Sicherheitslücken selbst codiert haben könnte. Es wird eine Weile dauern, bis das jemand auseinanderklabüstert hat.
Ich habe starke Bedenken gegenüber Update-Services für Dinge wie Systemsoftware, Antivirus-Pakete, Firewalls und sonstige kritische Infrastruktursysteme, die alle dazu neigen, intensiven Gebrauch von ZIP-Archiven zu machen. Einige weniger sorgfältig entwickelte Systeme installieren und entpacken automatisch ZIP-Dateien, die über einen Netzwerk-Updateservice versendet werden, wobei dieser ebenfalls völlig ohne menschliche Kontrolle arbeitet. Ich könnte mir denken, dass sich einige große Anbieter unverzüglich um diese Sache kümmern müssen und ihre Anwender auf dem schnellsten Wege warnen sollten.
Die Konsequenzen der Nachricht über die neue Sicherheitslücke gehen in zweierlei Richtungen. Einerseits ist es für Software-Anbieter an der Zeit, ihren Code nochmals durchzugehen, Bibliotheken mit Sicherheitslücken zu finden und entsprechende Updates für ihre Anwender zu erstellen. Auf der anderen Seite müssen die Anwender die schönen neuen Bug-freien Codes auf ihre Workstations und Server spielen. Es gibt keine Zeit zu verlieren…
Die Moral von der Geschichte ist einmal mehr: Beim Codieren von Software kann sich ein bisschen Sorgfalt im Voraus später richtig auszahlen und dabei helfen, massive Ausgaben im Nachhinein zu verhindern. Diese neueste Klasse von ZIP-Dateifehlern ist leider im Begriff, ein lebhaftes Beispiel hierfür zu werden.
Neueste Kommentare
Noch keine Kommentare zu Sicherheitsrisiko ZIP-Dateien: Gefährliche Verpackung
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.