Hibás tömörítési eljárás miatt kiszolgáltatott szoftverek

A nyíltforrású zlib komponensben egy puffertúlcsordulásos hibára bukkantak, számolt be a fejleményekről tegnap a dán, IT-biztonsággal foglalkozó Secunia weboldalán. Egy speciális feltételeknek megfelelő állomány elküldésével ennek révén a támadó akár át is veheti az ellenőrzést a megtámadott számítógép felett, vagy elérheti a sebezhető alkalmazás lefagyását.

Azért okoz nagy problémát a fenti hiba, mert a zlib nagyszámú nyíltforrású és jogvédett szoftverben implementálásra került. Az adattömörítést és kicsomagolást végző komponens például a legtöbb linuxos és BSD-s disztribúciónak is eleme. A Wikipedia szerint amolyan de facto szabvány lett a zlib az idők során, annyira meg voltak elégedve vele felhasználói.

Tavis Ormandy, a Gentoo Linux biztonsági auditáló csapatának egyik tagja fedezte fel a sérülékenységet. Egy e-mailes interjúban megemlített néhány alkalmazási területet, hol okozhat problémákat a fenti hiba: például az Xbox játékkonzol esetében és a mobiltelefonoknál, vagy az OpenSSH-nál. Ezek mind az 1.2.2-es változatot – vagy valamely korábbi verziót, amelyek a Secunia szerint mind érintettek lehetnek – alkalmazzák. A dán cég egyébként maximális veszélyességűnek, highly criticalnak sorolta be a zlib sebezhetőséget.

A Cnet megkereste a zlib egyik társkészítőjét, Mark Adlert. Adler arról tájékoztatta az amerikai médiát, hogy már elkészült az 1.2.3-as változat, amely mentes ettől a hibától. Több disztribúció esetében meg is történt a javítások közzététele: például a Suse, a Red Hat, a Gentoo, az Ubuntu, a Mandriva és a Debian is kiadta már a szükséges frissítéseket, melyeket ajánlott minél hamarabb beszerezni az érintetteknek. A Microsoft közlése értelmében a jelenleg támogatott Windows változatok nem veszélyeztetettek, ámbár a redmondi szoftverfejlesztő más termékeit érintheti a probléma. A zlib komponenst használja többek között például az Office, az MSN Messenger és az Internet Explorer is.