Archiv

Posts Tagged ‘linux’

Sicherheitslücke für alle

2010-09-21 2 Kommentare

In bzip2 gibt es eine Sicherheitslücke. Das ist deswegen so schlimm, weil das ein wichtiges Kompressionsverfahren ist und somit von sehr vielen Formaten und Programmen genutzt wird. Ich schätze daher, dass so gut wie jeder Computernutzer mindestens ein Programm nutzt, was von dieser Lücke betroffen ist.

Unter Linux ist das keine große Sache – jede Library (also Sammlung von Programmfunktionen, die von anderen Programmen benötigen werden, z. B. auch die betroffene bz2-Library) wird einmal zentral installiert und alle Programme greifen dann darauf zu. Somit kann man die kaputte Version an einer Stelle austauschen und hat das Problem gelöst. Unter Windows bringt fast jedes Programm seine eigenen Kopien der benötigten Libraries mit, man darf also jedes betroffene Programm einzeln aktualisieren – sobald der Hersteller ne aktuelle Version bereitgestellt hat. Und es werden viele Programme betroffen sein.

Um sich ein Bild zu verschaffen, habe mittels apt-rdepends -r auf einem Linuxrechner geschaut, was für Programme direkt oder indirekt von bzip2 abhängen, es also irgendwie nutzen. In einigen Fällen wird bz2 vielleicht nur für einen Installer o.ä. verwendet, sodass eine Windowsversion des Programms nicht betroffen ist, oder die Windowsfassung kann bzip2 nicht, oder bzip2 wird sonstwie so eingesetzt, dass die Sicherheitslücke irrelevant ist. Bei den genannten Programmen ist aber das Risiko, dass sie betroffen sind, recht hoch. Zum Gruseln hier ein paar Auszüge aus der Liste mit für Windowsuser relevanten etwas bekannteren Programmen (nochmal: ein Eintrag hier bedeutet, dass das Programm eine gute Chance hat, betroffen zu sein, nicht, dass es das tatsächlich ist!):

  • Apache (Webserver)
  • AssaultCube (Egoshooter)
  • Audacity (Audio-Editor)
  • Avidemux (Videoschnitt)
  • Azureus (BitTorrent-Client, vermutlich eher nicht betroffen)
  • BallView (Molekülvisualisierungssoftware)
  • Blender (3D-Editor)
  • BOINC (Seti-at-home-Client)
  • Chromium (Browser, Chrome-Klon)
  • ClamAV (Antivirus)
  • Codeblocks (Entwicklungsumgebung)
  • (… – ab hier bin ich die Liste nicht systematisch durchgegangen, sondern hab gesucht)

  • Firefox
  • Inkscape (Vektorgrafik)
  • Diverse PDF-Reader?

Wie man sieht, ist die Liste lang, und ich werde nicht das ganze Alphabet durchgehen. Grundsätzlich hat man gute Chancen, bzip2 in folgenden Sachen 1. zu finden 2. an einer Stelle zu finden, wo es regelmäßig nicht vertrauenswürdige Daten abbekommt:

  • Browser
  • P2P-Programme
  • Alles was mit Bildern zu tun hat
  • Antivirensoftware
  • Entpacker (d’oh)

Auch die Liste könnte natürlich fortgesetzt werden. Ich freu mich schon auf die Updaterei.

Eine Suche nach bzip2.dll liefert auch eine schöne Liste…

  • MikTex (LaTeX-Umgebung)
  • Inkscape (Vektorgrafik, siehe oben)
  • Gimp (Bildbearbeitung)
  • Mumble (Sprachkommunikation, freie Alternative zu TeamSpeak)

Es wird sicherlich viele Programme geben, bei denen die Datei anders heißt oder die fehlerbehafteten Funktionen statisch gelinkt (=direkt in die EXE eingebaut) oder in einer anderen DLL enthalten sind.

Werbeanzeigen