Categories: FirewallSicherheit

Sicherheitsrisiko ZIP-Dateien: Gefährliche Verpackung


Wenn erst einmal jeder weiß, wie diese unangenehme neue Eigenschaft bei der Verarbeitung von ZIP-Dateinamen genutzt werden kann, können wir uns auf einiges gefasst machen. Warum? Weil sich Virenscanner äußerst simpel durch ZIP-Dateien mit extrem langen Namen überlisten lassen. Und der Code, der das möglich macht, ist anscheinend von jedem namhaften Software-Unternehmen der Welt kopiert worden – ganz zu schweigen von der weit verbreiteten Nutzung des selben Codes bei Update-Services für Sicherheitsprodukte.

Entdeckt wurde die Sicherheitslücke von Mark Tesla und Chad Loder von Rapid7, einem US-Sicherheitssoftware- und Consulting-Unternehmen, das ZIP-Dateien erstellt hat, mit denen getestet werden kann, wie verschiedene Produkte mit den langen Dateinamen zurechtkommen. Diese Namen sind gemäß ZIP-Spezifikation zulässig – und die Testergebnisse sind nicht gerade beruhigend. „Nichts geht mehr! Vielen Dank, dass Sie mit uns Sicherheitsroulette gespielt haben. Die Verlierer der aktuellen Runde heißen Microsoft, Apple und IBM.“ All diese Unternehmen und eine ganze Reihe weiterer stellen Software her, die von ZIP-Dateien gefährdet werden kann. Die Anwendungsprogrammierer haben alle den gleichen Fehler gemacht und nicht beachtet, wie das ZIP-Format funktioniert: Alle haben Bibliotheken und Komponenten verwendet, die Dateinamen nur bis zu der im Betriebssystem maximal zulässigen Länge aufnehmen (zum Beispiel 512 Bytes bei Windows) – anstelle der 64K, wie sie innerhalb der ZIP-Spezifikation möglich sind.

Lücken im System
Was dabei wirklich Angst macht, ist die Verletzlichkeit gegenüber E-Mail-Viren. Bisher hat jeder von Rapid7 getestete Mail-Gateway-Virenscanner eine Viren-Testdatei einfach durchschlüpfen lassen, wenn sie mit langem Dateinamen in einer ZIP-Datei steckte – die Gateway-Scanner fanden lediglich Testdateien, die in „Standard“-ZIP-Dateien mit kurzen Entry-Namen eingebettet waren. Seltsamerweise halten Virenscanner Dateien, die sie nicht scannen können, für ungefährlich – sie lassen sie einfach durch und geben die Meldung aus, die betreffende Datei sei gescannt! Somit geht der Benutzer davon aus, dass der Gateway die Datei gescannt hat, und hat keinerlei Bedenken, sie zu öffnen.

Dieses Problem zeigt sich überall, nicht nur bei Betriebssystemen und Antiviren-Software. Viele Anwendungen, wie zum Beispiel Lotus Notes, können durch ZIP-Dateien kompromittiert werden, die lange Dateinamen enthalten. Microsoft, das nur sehr widerwillig die Namen seiner Komponentenzulieferer preisgibt, kann zumindest dieses Problem auf Programmierer Inner Media schieben, wo man gern damit angibt, dass sich Microsoft für das hauseigene Produkt DynaZip entschieden hat. Apple kann ebenso mit den Achseln zucken und sagen: „Fragt doch bei Alladin Systems!“ Nichtsdestotrotz ist es an Microsoft und Apple, das Problem in den Griff zu kriegen.

Ich möchte nicht ausschließlich auf DynaZip und Alladin herumhacken. Andere Anbieter kommerzieller Bibliotheken sind ebenfalls betroffen, das Gleiche gilt für Open-Source-Tools. Niemand ist vor Fehlern gefeit, und dies hier ist ein äußerst schönes Beispiel für diese Tatsache. Keine Dateinamen einzuplanen, welche die vom Betriebssystem vorgesehene maximale Länge überschreiten, selbst wenn das Dateiformat längere verarbeiten kann, ist offensichtlich die Regel. So haben die Code-Entwickler bei IBM zum Beispiel eine zuverlässige ZIP-Bibliothek zur Verwendung mit Notes ausgesucht, haben aber dann bei der Dateiverarbeitung wieder alles verkorkst.

Page: 1 2

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

5 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

24 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago