Categories: SicherheitSicherheitsmanagement

Cisco warnt vor kritischen Lücken in freier Pack-Bibliothek libarchive

Ciscos Sicherheitssparte Talos hat drei schwerwiegende Sicherheitslücken in der Open-Source-Bibliothek libarchive entdeckt, die zahlreiche Archivformate unterstützt. Die Fehler treten bei der Verarbeitung von komprimierten Dateien in den Formaten 7-Zip, MTREE und RAR auf. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen.

Im 7-Zip-Format haben die Sicherheitsforscher in Zusammenarbeit mit dem Libarchive-Projekt einen Integer-Überlauf beseitigt, der zu einem Speicherfehler führt und schließlich eine Remotecodeausführung ermöglicht. „Um diese Anfälligkeit auszunutzen, muss ein Angreifer seinem Opfer nur eine vergiftete 7-Zip-Datei schicken, die mit libarchive verarbeitet wird“, heißt es dazu im Talos-Blog.

Das MTREE-Format kann einen Pufferüberlauf auslösen. Der Fehler steckt, so die Sicherheitsforscher, in Code, der eigentlich einen Pufferüberlauf verhindern soll. Speziell präparierte RAR-Dateien sind indes für einen Heap-Überlauf verantwortlich. Auch diese beiden Bugs erlauben das Einschleusen von schädlichem Code.

Die Bibliothek wird von zahlreichen Packprogrammen für unterschiedliche Betriebssysteme verwendet. Ursprünglich wurde sie für FreeBSD entwickelt. Aber auch der Ark genannte Dateimanager des Linux-Desktops KDE nutzt libarchive. Weitere Beispiele sind die Zip Unpacker Component Extension für Chrome OS, GnuWin32 und Cygwin für Windows, Springy und Darwinports für Mac OS X und die Linux-Distributionen Debian und Gentoo.

Hochsicherheitstechnik für mobile Endgeräte: Die Vorteile von Samsung KNOX

Wenn Smartphones beruflich und privat genutzt werden, steht der Schutz sensibler Unternehmensdaten auf dem Spiel. Samsung KNOX™ bietet einen mehrschichtigen, hochwirksamen Schutz, ohne die Privatsphäre der Mitarbeiter anzutasten.

...zum Samsung-Galaxy-S7-Special

„Wenn Anfälligkeiten in einer Software wie libarchive entdeckt werden, sind viele Anwendungen von Dritten betroffen“, schreiben die Talos-Forscher. „Dies wird als systematischer Mehrfachausfall bezeichnet, der es Angreifern erlaubt, mit einem Angriff viele unterschiedliche Programme und Systeme zu kompromittieren. Wir raten Nutzern dringend, alle betroffenen Programme so schnell wie möglich zu patchen.“

Das Libarchive-Projekt verteilt schon seit Sonntag die fehlerbereinigte Version 3.2.1. Betroffene Nutzer sind allerdings darauf angewiesen, dass die Anbieter der von ihnen verwendeten Software einen Patch veröffentlichen. Computerworld verweist in dem Zusammenhang auf Studien, die gezeigt haben, dass viele Softwareentwickler gar nicht genau wissen, welche Komponenten von Dritten sie für ihre Projekte verwenden.

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.