Kritische Sicherheitslücke in TUGzip gemeldet

Über eine Sicherheitslücke in TUGzip, einem freien Packer für Windows, können Angreifer über manipulierte ZIP-Dateien beliebigen Schadcode einspeisen.

Laut einer Meldung der Sicherheitsexperten von Secunia wurde die Schwachstelle in Version 3.5.0.0 von TUGzip nachgewiesen. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht durch einen Begrenzungsfehler bei der Verarbeitung von ZIP-Dateien. Durch gezielte Manipulation einer solchen Datei wird bei deren Öffnung ein stackbasierter Pufferüberlauf ausgelöst, mit dessen Hilfe Angreifer beliebigen Schadcode in ein betroffenes System einspeisen können. Ein Patch liegt bislang noch nicht vor. (twi)