Vom KDE-Projekt kommt eine Warnung vor einer gewichtigen Schwachstelle im Standard-Archivmanager Ark. Die Software entpackt Archive nicht immer dort, wo sie es soll.
Wer KDE regulär verwendet, muss in der Regel hin und wieder mal ein Zip-Archiv entpacken. Dafür gibt es mehrere Wege. Ein verbreiteter besteht darin, das Zip-Archiv herunterzuladen, den Dateimanager Dolphin aufzurufen und das Archiv über die Software Ark in dem Ordner (oder einem Unterordner) zu entpacken, in dem es liegt.
Das kann sich laut einer Warn-E-Mail auf der KDE-Announce-Mailingliste bei Ark bis zur Version 20.04.3 nun als Sicherheitsproblem herausstellen. Manipulierte Archive können ihre Dateien an beliebigen Stellen im Home-Verzeichnis entpacken. Ein Angreifer kann so etwa die “.bashrc” verändern oder ein beliebiges Skript in “~/.config/autostart” hinterlegen.
Ab Version 20.08.0 von Ark ist das Problem behoben, KDE-Nutzer sollten also Updates einspielen. Oder sie übersetzen eine ältere Version mit einer reparierten Datei, die einen Fix für die Lücke liefert. Funktioniert das nicht, sollten sie jedes Archiv vor dem Entpacken überprüfen. Befindet sich ein Eintrag in dem Archiv, der auf ein übergeordnetes Verzeichnis verweist (etwa “../”), ist Vorsicht angesagt.
Ich staune immer mehr das es in einer Standardsoftware von KDE, sie es seit Ewigkeiten gibt, solche Fehler geben kann.
Die Devise “Never touch a running System” ist hier fehl am Platz.
Die Entwickler von KDE erweitern KDE lieber um neue Funktionen anstatt (alt)bekannte Fehler zu beheben.
Der Bugtracker von KDE fasst die Anzahl an offenen Bugs schön zusammenfassen: This list is too long for Bugzilla’s little mind