Laut den Sicherheitsforscher von Snyk befindet sich die Sicherheitslücke Zip Slip in vielen Open-Source-Programmier-Bibliotheken von beispielsweise Java und Go. Die Code-Teile, die für das Entpacken von Archiven zuständig sind, sind verwundbar.

Viele Coding-Bibliotheken besitzen keine eigene Handhabe zum Umgang mit gepackten Archiven, und daher wurden für Zip Slip anfällige Code-Teile in verschiedenen Bibliotheken wiederverwertet. Auch auf der Entwicklungsplattform StackOverflow soll sich Code von dieser Art befinden. Daher wird davon ausgegangen, dass viele Desktop-, Mobile- und Web-Apps anfällig für Zip-Slip-Angriffe sind. Die Sicherheitsforscher listen auf einer Github-Seite betroffene Bibliotheken auf und informieren über betroffene Archiv-Formate.

Snyk habe die Schwachstelle schon früh an Verantwortliche kommuniziert, damit diese Zeit für die Entwicklung von Sicherheitsupdates haben und erste Patches sind auch schon erschienen. Ein technisches Paper (PDF) bietet Software-Entwicklern weiterführende Infos, damit diese einschätzen können, ob ihr Code für Zip Slip anfällig ist. Die Entwickler der Sicherheitsupdates stellen zudem vorbereitete Archive zur Verfügung, mit denen Entwickler ihre Software auf Verwundbarkeit prüfen können.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE