zurück zum Artikel

Linux-Desktop KDE: Sicherheitslücke in Ark erlaubte Angriffe aus der Ferne

Olivia von Westernhagen
Linux-Desktop KDE: Sicherheitslücke in Ark erlaubte Angriffe aus der Ferne

(Bild: Artur Szczybylo/Shutterstock.com)

Ein Ark-Update auf Version 20.08.0 beseitigt Angriffsmöglichkeiten mittels präparierter Archive.

Ein wichtiges Update für den Archiv-Manager Ark schließt eine Sicherheitslücke, die Angreifer mittels speziell präparierter Archive für die Ausführung beliebigen Programmcodes hätten missbrauchen können. Die Entwickler stufen die Sicherheitslücke CVE-2020-16116 als "Important" ein.

Verwundbar sind laut Security Advisory des KDE-Projekts [1] Ark-Versionen bis einschließlich 20.04.3. Die aktuelle Version 20.08.0 verhindert nicht nur das Laden schädlicher Archive, sondern zeigt Nutzern bei entsprechenden Vorgängen zusätzlich auch einen Warnhinweis an. Alternativ zur neuen Version verweist das Team auf einen Patch, um ältere Ark-Releases auf den neuesten Stand zu bringen [2].

Bei CVE-2020-16116 handelt es sich um einen so genannten Path-Traversal-Angriff. Laut Advisory könnten Angreifer die Pfadangaben in schädlichen Archiven so manipulieren, dass die enthaltenen Dateien nach dem Entpacken (an dieser Stelle ist eine Nutzerinteraktion erforderlich) an beliebiger Stelle im Home-Verzeichnis des Nutzers landen. Auf diese Weise wäre es etwa möglich, eine modifizierte .bashrc zu installieren oder ein schädliches Skript im Autostart-Ordner (~/.config/autostart) zu platzieren.

Das KDE [3]-Team nennt als möglichen Workaround den Verzicht auf die Nutzung des "Extrahieren"-Kontextmenüs des Dateimanagers Dolphin. Zudem sollten Nutzer vor dem Entpacken heruntergeladener Archive sichergehen, dass sich im Dateipfad keine Einträge mit "../" befinden. Letztlich ist ein Ark-Update auf 20.08.0 jedoch die bessere Sicherheitsmaßnahme.

Proof-of-Concept-Code steht bei GitHub bereit [4]; zu aktiven Angriffen "in freier Wildbahn" ist bislang nichts bekannt.

Update 03.08.20, 12:10: Gemäß "Attack Vector"-Abschnitt der CVSS-Specification [5] technisch nicht korrekten Hinweis auf Remote Code Execution/ Angriff aus der Ferne gelöscht. Danke für den Hinweis. (ovw [6])


URL dieses Artikels:
https://www.heise.de/-4861445

Links in diesem Artikel:
[1] https://kde.org/info/security/advisory-20200730-1.txt
[2] https://invent.kde.org/utilities/ark/-/commit/0df592524fed305d6fbe74ddf8a196bc9ffdb92f
[3] https://www.heise.de/thema/KDE
[4] https://github.com/jwilk/traversal-archives/releases/download/0/relative2.zip
[5] https://www.first.org/cvss/specification-document#2-1-Exploitability-Metrics
[6] mailto:ovw@heise.de