Cisco warnt vor kritischen Lücken in freier Pack-Bibliothek libarchive

Ciscos Sicherheitssparte Talos hat drei schwerwiegende Sicherheitslücken in der Open-Source-Bibliothek libarchive entdeckt, die zahlreiche Archivformate unterstützt. Die Fehler treten bei der Verarbeitung von komprimierten Dateien in den Formaten 7-Zip, MTREE und RAR auf. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen.

Im 7-Zip-Format haben die Sicherheitsforscher in Zusammenarbeit mit dem Libarchive-Projekt einen Integer-Überlauf beseitigt, der zu einem Speicherfehler führt und schließlich eine Remotecodeausführung ermöglicht. „Um diese Anfälligkeit auszunutzen, muss ein Angreifer seinem Opfer nur eine vergiftete 7-Zip-Datei schicken, die mit libarchive verarbeitet wird“, heißt es dazu im Talos-Blog.

Das MTREE-Format kann einen Pufferüberlauf auslösen. Der Fehler steckt, so die Sicherheitsforscher, in Code, der eigentlich einen Pufferüberlauf verhindern soll. Speziell präparierte RAR-Dateien sind indes für einen Heap-Überlauf verantwortlich. Auch diese beiden Bugs erlauben das Einschleusen von schädlichem Code.

Die Bibliothek wird von zahlreichen Packprogrammen für unterschiedliche Betriebssysteme verwendet. Ursprünglich wurde sie für FreeBSD entwickelt. Aber auch der Ark genannte Dateimanager des Linux-Desktops KDE nutzt libarchive. Weitere Beispiele sind die Zip Unpacker Component Extension für Chrome OS, GnuWin32 und Cygwin für Windows, Springy und Darwinports für Mac OS X und die Linux-Distributionen Debian und Gentoo.

„Wenn Anfälligkeiten in einer Software wie libarchive entdeckt werden, sind viele Anwendungen von Dritten betroffen“, schreiben die Talos-Forscher. „Dies wird als systematischer Mehrfachausfall bezeichnet, der es Angreifern erlaubt, mit einem Angriff viele unterschiedliche Programme und Systeme zu kompromittieren. Wir raten Nutzern dringend, alle betroffenen Programme so schnell wie möglich zu patchen.“

Das Libarchive-Projekt verteilt schon seit Sonntag die fehlerbereinigte Version 3.2.1. Betroffene Nutzer sind allerdings darauf angewiesen, dass die Anbieter der von ihnen verwendeten Software einen Patch veröffentlichen. Computerworld verweist in dem Zusammenhang auf Studien, die gezeigt haben, dass viele Softwareentwickler gar nicht genau wissen, welche Komponenten von Dritten sie für ihre Projekte verwenden.

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.