Ein wichtiges Update für den Archiv-Manager Ark schließt eine Sicherheitslücke, die Angreifer mittels speziell präparierter Archive für die Ausführung beliebigen Programmcodes hätten missbrauchen können. Die Entwickler stufen die Sicherheitslücke CVE-2020-16116 als "Important" ein.
Verwundbar sind laut Security Advisory des KDE-Projekts Ark-Versionen bis einschließlich 20.04.3. Die aktuelle Version 20.08.0 verhindert nicht nur das Laden schädlicher Archive, sondern zeigt Nutzern bei entsprechenden Vorgängen zusätzlich auch einen Warnhinweis an. Alternativ zur neuen Version verweist das Team auf einen Patch, um ältere Ark-Releases auf den neuesten Stand zu bringen.
Nutzer-Interaktion Voraussetzung für erfolgreichen Angriff
Bei CVE-2020-16116 handelt es sich um einen so genannten Path-Traversal-Angriff. Laut Advisory könnten Angreifer die Pfadangaben in schädlichen Archiven so manipulieren, dass die enthaltenen Dateien nach dem Entpacken (an dieser Stelle ist eine Nutzerinteraktion erforderlich) an beliebiger Stelle im Home-Verzeichnis des Nutzers landen. Auf diese Weise wäre es etwa möglich, eine modifizierte .bashrc zu installieren oder ein schädliches Skript im Autostart-Ordner (~/.config/autostart) zu platzieren.
Das KDE-Team nennt als möglichen Workaround den Verzicht auf die Nutzung des "Extrahieren"-Kontextmenüs des Dateimanagers Dolphin. Zudem sollten Nutzer vor dem Entpacken heruntergeladener Archive sichergehen, dass sich im Dateipfad keine Einträge mit "../" befinden. Letztlich ist ein Ark-Update auf 20.08.0 jedoch die bessere Sicherheitsmaßnahme.
Proof-of-Concept-Code steht bei GitHub bereit; zu aktiven Angriffen "in freier Wildbahn" ist bislang nichts bekannt.
Update 03.08.20, 12:10: Gemäß "Attack Vector"-Abschnitt der CVSS-Specification technisch nicht korrekten Hinweis auf Remote Code Execution/ Angriff aus der Ferne gelöscht. Danke für den Hinweis.
Quelle: Linux-Desktop KDE: Sicherheitslücke in Ark erlaubte Angriffe aus der Ferne | heise online