Komprimierungstool gefährdet alle PCs

Nutzt ein Angreifer die Sicherheitslücke in der Bibliothek aus, kann er auf einem Rechner schädlichen Code mit den Rechten des Benutzers ausführen. Um den Programmcode einzuschleusen, genügt es, wenn ein Nutzer eine präparierte Bzip2-Datei öffnet. Da viele Programme auf die gefährdete Bibliothek zugreifen, ist es jedoch unter Umständen nicht notwendig, dass der Nutzer eine schädliche Datei selbst anklickt. So nutzt etwa der Virenscanner ClamAV Bzip2 und greift automatisch auf die Bibliothek zu. Das Kompressions-Werkzeug ist beliebt und weit verbreitet, weil es schnell und gut komprimiert und unter der freien BSD-Lizenz erhältlich ist.

Die Bzip2-Entwickler haben schnell reagiert und die Sicherheitslücke in ihrer Software geschlossen. In Version 1.0.6 von Bzip2 tritt der Fehler nicht mehr auf. Der Quellcode steht auf der Webseite des Projekts zum Download bereit. Diverse Linux- und Unix-Distributionen, darunter Redhat, Debian, Slackware, Ubuntu und FreeBSD, haben ihren Code angepasst und die aktuelle Version von Bzip2 implementiert. Der Fehler betrifft auch Mac-OS X. Hier steht ein Update noch aus.