Freies Packprogramm 7-Zip weist schwerwiegende Sicherheitslücken auf

Sicherheitsforscher von Ciscos Security Intelligence and Research Group Talos haben schwerwiegende Schwachstellen in dem freien Archivierungsprogramm 7-Zip aufgedeckt. Wie Marcin Noga und Jaeson Schultz in einem Blogbeitrag ausführen, können die beiden Lücken in den 7-Zip-Bibliotheken auch „Sicherheitsgeräte oder Antivirenprodukte“ sowie andere Software betreffen.

7-Zip ist ein Open-Source-Packprogramm mit optionaler AES-256-Bit-Verschlüsselung, Support für große Dateien und der Möglichkeit, jegliche Kompressions-, Konvertierungs- und Verschlüsselungsmethode zu nutzen. Es wird nicht nur von Hunderttausenden Anwendern eingesetzt, sondern Drittanbieter und Entwickler implementieren es auch häufig in ihre Produkte. Diese sind durch die Schwachstellen ebenfalls gefährdet.

Welche Auswirkungen es haben kann, wenn ein grundlegender Teil einer Software Sicherheitslöcher aufweist, zeigte sich kürzlich schon bei der ImageMagick-Lücke. In solch einem Fall ist nämlich nicht nur die Software selbst betroffen, sondern auch alle Websites, Systeme oder andere Lösungen, die darauf basieren.

Bei der ersten von Marcin Noga entdeckten Schwachstelle (CVE-2016-2335) in 7-Zip handelt es sich um eine sogenannte Out-of-Bounds-Lücke im Zusammenhang mit der Verarbeitung von Dateien im Universal Disk Format (UDF). Aufgrund einer unzureichenden Überprüfung lässt sich der Lesevorgang theoretisch auf nicht vorgesehene Bereiche ausweiten, wenn Partitionstabellen zum Auffinden von Objekten im Dateisystem gescannt werden. Angreifer könnten dies ausnutzen, um eine Denial-of-Service-Attacke zu starten oder Schadcode auszuführen.

Die zweite Lücke (CVE-2016-2334) ist eine Heap-Overflow-Schwachstelle in der Funktionsmethode Archive::NHfs::CHandler::ExtractZlibFile. Im HFS+-Dateisystem der Software können Dateien mittels zlib in einem komprimierten Format gespeichert werden. Abhängig von der Datengröße wird diese Information eventuell in Blöcken abgelegt. Jedoch erfolgt keine Überprüfung, ob die Blockgröße die des Software-Puffers übersteigt. Das führt zu dem Pufferüberlauf-Problem, welches sich wiederum zum Ausführen von Schadcode ausnutzen lässt.

„Leider resultieren viele Sicherheitslücken in Anwendungen daraus, dass sie ihre Eingabedaten nicht ordentlich validieren. Beide 7-Zip-Schwachstellen gehen auf eine fehlerhafte Eingabeprüfung zurück“, erklärt Noga. „Weil Daten aus einer möglicherweise nicht vertrauenswürdigen Quelle stammen, ist die Überprüfung der Eingabedaten von entscheidender Bedeutung für die Sicherheit von Applikationen.“

Talos und 7-Zip haben gemeinsam an der Beseitigung der Schwachstellen gearbeitet. In der seit Dienstag verfügbaren Version 16.00 des plattformübergreifenden Kompressionsprogramms sind sie nicht mehr enthalten. Alle Vorgängerversionen sind jedoch anfällig und sollten schnellstmöglich aktualisiert werden. Das gilt sowohl für Endverbraucher sowie für Firmen und Entwickler, die die 7-Zip-Funktionen in ihre Produkte integriert haben.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de