Sicherheitsrisiko ZIP-Dateien: Gefährliche Verpackung

Wenn erst einmal jeder weiß, wie diese unangenehme neue Eigenschaft bei der Verarbeitung von ZIP-Dateinamen genutzt werden kann, können wir uns auf einiges gefasst machen. Warum? Weil sich Virenscanner äußerst simpel durch ZIP-Dateien mit extrem langen Namen überlisten lassen. Und der Code, der das möglich macht, ist anscheinend von jedem namhaften Software-Unternehmen der Welt kopiert worden – ganz zu schweigen von der weit verbreiteten Nutzung des selben Codes bei Update-Services für Sicherheitsprodukte.

Entdeckt wurde die Sicherheitslücke von Mark Tesla und Chad Loder von Rapid7, einem US-Sicherheitssoftware- und Consulting-Unternehmen, das ZIP-Dateien erstellt hat, mit denen getestet werden kann, wie verschiedene Produkte mit den langen Dateinamen zurechtkommen. Diese Namen sind gemäß ZIP-Spezifikation zulässig – und die Testergebnisse sind nicht gerade beruhigend. „Nichts geht mehr! Vielen Dank, dass Sie mit uns Sicherheitsroulette gespielt haben. Die Verlierer der aktuellen Runde heißen Microsoft, Apple und IBM.“ All diese Unternehmen und eine ganze Reihe weiterer stellen Software her, die von ZIP-Dateien gefährdet werden kann. Die Anwendungsprogrammierer haben alle den gleichen Fehler gemacht und nicht beachtet, wie das ZIP-Format funktioniert: Alle haben Bibliotheken und Komponenten verwendet, die Dateinamen nur bis zu der im Betriebssystem maximal zulässigen Länge aufnehmen (zum Beispiel 512 Bytes bei Windows) – anstelle der 64K, wie sie innerhalb der ZIP-Spezifikation möglich sind.

Lücken im System
Was dabei wirklich Angst macht, ist die Verletzlichkeit gegenüber E-Mail-Viren. Bisher hat jeder von Rapid7 getestete Mail-Gateway-Virenscanner eine Viren-Testdatei einfach durchschlüpfen lassen, wenn sie mit langem Dateinamen in einer ZIP-Datei steckte – die Gateway-Scanner fanden lediglich Testdateien, die in „Standard“-ZIP-Dateien mit kurzen Entry-Namen eingebettet waren. Seltsamerweise halten Virenscanner Dateien, die sie nicht scannen können, für ungefährlich – sie lassen sie einfach durch und geben die Meldung aus, die betreffende Datei sei gescannt! Somit geht der Benutzer davon aus, dass der Gateway die Datei gescannt hat, und hat keinerlei Bedenken, sie zu öffnen.

Dieses Problem zeigt sich überall, nicht nur bei Betriebssystemen und Antiviren-Software. Viele Anwendungen, wie zum Beispiel Lotus Notes, können durch ZIP-Dateien kompromittiert werden, die lange Dateinamen enthalten. Microsoft, das nur sehr widerwillig die Namen seiner Komponentenzulieferer preisgibt, kann zumindest dieses Problem auf Programmierer Inner Media schieben, wo man gern damit angibt, dass sich Microsoft für das hauseigene Produkt DynaZip entschieden hat. Apple kann ebenso mit den Achseln zucken und sagen: „Fragt doch bei Alladin Systems!“ Nichtsdestotrotz ist es an Microsoft und Apple, das Problem in den Griff zu kriegen.

Ich möchte nicht ausschließlich auf DynaZip und Alladin herumhacken. Andere Anbieter kommerzieller Bibliotheken sind ebenfalls betroffen, das Gleiche gilt für Open-Source-Tools. Niemand ist vor Fehlern gefeit, und dies hier ist ein äußerst schönes Beispiel für diese Tatsache. Keine Dateinamen einzuplanen, welche die vom Betriebssystem vorgesehene maximale Länge überschreiten, selbst wenn das Dateiformat längere verarbeiten kann, ist offensichtlich die Regel. So haben die Code-Entwickler bei IBM zum Beispiel eine zuverlässige ZIP-Bibliothek zur Verwendung mit Notes ausgesucht, haben aber dann bei der Dateiverarbeitung wieder alles verkorkst.