Schwachstelle Zip Slip: Beim Entpacken ist Schadcode inklusive

Viele Coding-Bibliotheken sind beim Entpacken von Archiven angreifbar. Ist eine Attacke erfolgreich, könnte Schadcode auf Computer gelangen.

Die Sicherheitslücke Zip Slip klafft in vielen Open-Source-Programmier-Bibliotheken von beispielsweise Java und Go. Verwundbar sind die Code-Teile, die für das Entpacken von Archiven zuständig sind. Davor warnen Sicherheitsforscher von Snyk.

Problematisch dabei ist, dass viele Coding-Bibliotheken keine eigene Handhabe zum Umgang mit gepackten Archiven innehaben. So kam es dazu, dass für Zip Slip anfällige Code-Teile in verschiedenen Bibliotheken wiederverwertet wurden. Code von dieser Art finde sich auch auf der Entwicklungsplattform StackOverflow. Demzufolge ist davon auszugehen, dass viele Desktop-, Mobile- und Web-Apps anfällig für Zip-Slip-Angriffe sind.

Quelle: Schwachstelle Zip Slip: Beim Entpacken ist Schadcode inklusive | heise Security