Categories: Unternehmen

Sicherheitsrisiko ZIP-Dateien: Gefährliche Verpackung

Wenn erst einmal jeder weiß, wie diese unangenehme neue Eigenschaft bei der Verarbeitung von ZIP-Dateinamen genutzt werden kann, können wir uns auf einiges gefasst machen. Warum? Weil sich Virenscanner äußerst simpel durch ZIP-Dateien mit extrem langen Namen überlisten lassen. Und der Code, der das möglich macht, ist anscheinend von jedem namhaften Software-Unternehmen der Welt kopiert worden – ganz zu schweigen von der weit verbreiteten Nutzung des selben Codes bei Update-Services für Sicherheitsprodukte.

Entdeckt wurde die Sicherheitslücke von Mark Tesla und Chad Loder von Rapid7, einem US-Sicherheitssoftware- und Consulting-Unternehmen, das ZIP-Dateien erstellt hat, mit denen getestet werden kann, wie verschiedene Produkte mit den langen Dateinamen zurechtkommen. Diese Namen sind gemäß ZIP-Spezifikation zulässig – und die Testergebnisse sind nicht gerade beruhigend. „Nichts geht mehr! Vielen Dank, dass Sie mit uns Sicherheitsroulette gespielt haben. Die Verlierer der aktuellen Runde heißen Microsoft, Apple und IBM.“ All diese Unternehmen und eine ganze Reihe weiterer stellen Software her, die von ZIP-Dateien gefährdet werden kann. Die Anwendungsprogrammierer haben alle den gleichen Fehler gemacht und nicht beachtet, wie das ZIP-Format funktioniert: Alle haben Bibliotheken und Komponenten verwendet, die Dateinamen nur bis zu der im Betriebssystem maximal zulässigen Länge aufnehmen (zum Beispiel 512 Bytes bei Windows) – anstelle der 64K, wie sie innerhalb der ZIP-Spezifikation möglich sind.

Lücken im System
Was dabei wirklich Angst macht, ist die Verletzlichkeit gegenüber E-Mail-Viren. Bisher hat jeder von Rapid7 getestete Mail-Gateway-Virenscanner eine Viren-Testdatei einfach durchschlüpfen lassen, wenn sie mit langem Dateinamen in einer ZIP-Datei steckte – die Gateway-Scanner fanden lediglich Testdateien, die in „Standard“-ZIP-Dateien mit kurzen Entry-Namen eingebettet waren. Seltsamerweise halten Virenscanner Dateien, die sie nicht scannen können, für ungefährlich – sie lassen sie einfach durch und geben die Meldung aus, die betreffende Datei sei gescannt! Somit geht der Benutzer davon aus, dass der Gateway die Datei gescannt hat, und hat keinerlei Bedenken, sie zu öffnen.

Dieses Problem zeigt sich überall, nicht nur bei Betriebssystemen und Antiviren-Software. Viele Anwendungen, wie zum Beispiel Lotus Notes, können durch ZIP-Dateien kompromittiert werden, die lange Dateinamen enthalten. Microsoft, das nur sehr widerwillig die Namen seiner Komponentenzulieferer preisgibt, kann zumindest dieses Problem auf Programmierer Inner Media schieben, wo man gern damit angibt, dass sich Microsoft für das hauseigene Produkt DynaZip entschieden hat. Apple kann ebenso mit den Achseln zucken und sagen: „Fragt doch bei Alladin Systems!“ Nichtsdestotrotz ist es an Microsoft und Apple, das Problem in den Griff zu kriegen.

Ich möchte nicht ausschließlich auf DynaZip und Alladin herumhacken. Andere Anbieter kommerzieller Bibliotheken sind ebenfalls betroffen, das Gleiche gilt für Open-Source-Tools. Niemand ist vor Fehlern gefeit, und dies hier ist ein äußerst schönes Beispiel für diese Tatsache. Keine Dateinamen einzuplanen, welche die vom Betriebssystem vorgesehene maximale Länge überschreiten, selbst wenn das Dateiformat längere verarbeiten kann, ist offensichtlich die Regel. So haben die Code-Entwickler bei IBM zum Beispiel eine zuverlässige ZIP-Bibliothek zur Verwendung mit Notes ausgesucht, haben aber dann bei der Dateiverarbeitung wieder alles verkorkst.

Page: 1 2

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

10 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

11 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

18 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago