Categories: FirewallSicherheit

Sicherheitsrisiko ZIP-Dateien: Gefährliche Verpackung

Das Problem ist, dass es sich bei diesem Bug um einen sehr fundamentalen Fehler handelt, der durch die blinde Wiederverwendung des ZIP-Bibliothekscodes von übereilt vorgehenden Programmierern noch verschlimmert wurde. („Nimm einfach diese ZIP-Bibliothek! Mach dir keine Gedanken darüber, wie das Ding funktioniert – ich will den Code morgen früh auf meinem Tisch haben!“). Das führte zu einer unangenehmen Lektion, die lange gelernt werden musste.




Probleme mit Kompressionsbibliotheken tauchen oft auf, wie zum Beispiel der vor kurzem festgestellte Compression Bug in der Open-Source-zlib-Bibliothek, der zugewiesenen Speicherplatz zweifach frei machte. Das Problem ist, dass zahllose Closed-Source-Softwarepakete Konzepte und Code aus der Open-Source-zlib-Bibliothek entliehen haben. Mit ein bisschen Sucharbeit gibt es bei Open-Source-Software noch eine gewisse Hoffnung, die Sicherheitslücke zu finden, aber bei Closed-Source-Produkten ist das ein echter Albtraum, es sei denn, die Anbieter kümmern sich darum. Und jede Menge Anbieter haben die ZIP-komprimierten Formate für ihre Softwarepakete verwendet. Sie werden es schwer haben herauszufinden, wer welche Bibliotheken verwendet oder wer seine Sicherheitslücken selbst codiert haben könnte. Es wird eine Weile dauern, bis das jemand auseinanderklabüstert hat.

Ich habe starke Bedenken gegenüber Update-Services für Dinge wie Systemsoftware, Antivirus-Pakete, Firewalls und sonstige kritische Infrastruktursysteme, die alle dazu neigen, intensiven Gebrauch von ZIP-Archiven zu machen. Einige weniger sorgfältig entwickelte Systeme installieren und entpacken automatisch ZIP-Dateien, die über einen Netzwerk-Updateservice versendet werden, wobei dieser ebenfalls völlig ohne menschliche Kontrolle arbeitet. Ich könnte mir denken, dass sich einige große Anbieter unverzüglich um diese Sache kümmern müssen und ihre Anwender auf dem schnellsten Wege warnen sollten.

Die Konsequenzen der Nachricht über die neue Sicherheitslücke gehen in zweierlei Richtungen. Einerseits ist es für Software-Anbieter an der Zeit, ihren Code nochmals durchzugehen, Bibliotheken mit Sicherheitslücken zu finden und entsprechende Updates für ihre Anwender zu erstellen. Auf der anderen Seite müssen die Anwender die schönen neuen Bug-freien Codes auf ihre Workstations und Server spielen. Es gibt keine Zeit zu verlieren…

Die Moral von der Geschichte ist einmal mehr: Beim Codieren von Software kann sich ein bisschen Sorgfalt im Voraus später richtig auszahlen und dabei helfen, massive Ausgaben im Nachhinein zu verhindern. Diese neueste Klasse von ZIP-Dateifehlern ist leider im Begriff, ein lebhaftes Beispiel hierfür zu werden.

Page: 1 2

ZDNet.de Redaktion

Recent Posts

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

3 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

3 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

4 Tagen ago

Vorinstallierte Schadsoftware auf IoT-Geräten

Mit dem Internet verbundene Digitale Bilderrahmen oder Mediaplayer können mit Schadsoftware infiziert werden und sind…

6 Tagen ago

iOS und iPadOS 18.2 beseitigen 21 Sicherheitslücken

Schädliche Apps können unter Umständen einen Systemabsturz auslösen. Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung.

1 Woche ago

Top-Malware im November: Infostealer Formbook bleibt Nummer 1

Sein Anteil an allen Infektionen steigt in Deutschland auf 18,5 Prozent. Das Botnet Androxgh0st integriert…

1 Woche ago