Das Problem ist, dass es sich bei diesem Bug um einen sehr fundamentalen Fehler handelt, der durch die blinde Wiederverwendung des ZIP-Bibliothekscodes von übereilt vorgehenden Programmierern noch verschlimmert wurde. („Nimm einfach diese ZIP-Bibliothek! Mach dir keine Gedanken darüber, wie das Ding funktioniert – ich will den Code morgen früh auf meinem Tisch haben!“). Das führte zu einer unangenehmen Lektion, die lange gelernt werden musste.
Probleme mit Kompressionsbibliotheken tauchen oft auf, wie zum Beispiel der vor kurzem festgestellte Compression Bug in der Open-Source-zlib-Bibliothek, der zugewiesenen Speicherplatz zweifach frei machte. Das Problem ist, dass zahllose Closed-Source-Softwarepakete Konzepte und Code aus der Open-Source-zlib-Bibliothek entliehen haben. Mit ein bisschen Sucharbeit gibt es bei Open-Source-Software noch eine gewisse Hoffnung, die Sicherheitslücke zu finden, aber bei Closed-Source-Produkten ist das ein echter Albtraum, es sei denn, die Anbieter kümmern sich darum. Und jede Menge Anbieter haben die ZIP-komprimierten Formate für ihre Softwarepakete verwendet. Sie werden es schwer haben herauszufinden, wer welche Bibliotheken verwendet oder wer seine Sicherheitslücken selbst codiert haben könnte. Es wird eine Weile dauern, bis das jemand auseinanderklabüstert hat.
Ich habe starke Bedenken gegenüber Update-Services für Dinge wie Systemsoftware, Antivirus-Pakete, Firewalls und sonstige kritische Infrastruktursysteme, die alle dazu neigen, intensiven Gebrauch von ZIP-Archiven zu machen. Einige weniger sorgfältig entwickelte Systeme installieren und entpacken automatisch ZIP-Dateien, die über einen Netzwerk-Updateservice versendet werden, wobei dieser ebenfalls völlig ohne menschliche Kontrolle arbeitet. Ich könnte mir denken, dass sich einige große Anbieter unverzüglich um diese Sache kümmern müssen und ihre Anwender auf dem schnellsten Wege warnen sollten.
Die Konsequenzen der Nachricht über die neue Sicherheitslücke gehen in zweierlei Richtungen. Einerseits ist es für Software-Anbieter an der Zeit, ihren Code nochmals durchzugehen, Bibliotheken mit Sicherheitslücken zu finden und entsprechende Updates für ihre Anwender zu erstellen. Auf der anderen Seite müssen die Anwender die schönen neuen Bug-freien Codes auf ihre Workstations und Server spielen. Es gibt keine Zeit zu verlieren…
Die Moral von der Geschichte ist einmal mehr: Beim Codieren von Software kann sich ein bisschen Sorgfalt im Voraus später richtig auszahlen und dabei helfen, massive Ausgaben im Nachhinein zu verhindern. Diese neueste Klasse von ZIP-Dateifehlern ist leider im Begriff, ein lebhaftes Beispiel hierfür zu werden.
Page: 1 2
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…