Die Entwickler des quelloffenen Frameworks YARA haben vor knapp zwei Wochen fast schon heimlich still und leise eine neue Version veröffentlicht, v4.2.3, welche in der medialen Berichterstattung beinahe untergegangen ist.

Grundsätzlich ist eine neue Softwareversion zwar nichts ungewöhnliches, aber wenn sich in den Patchnotes folgende Zeile befindet tendiere ich doch zur leichten bis mittleren Unruhe:

BUGFIX: Fix security issue that can lead to arbitrary code execution

Bei dem Bugfix handelt es sich um eine Veränderung in libyara/exec.c. Ich bin so weit von der Rolle eines C-Programmierers (oder irgendeines Programmierers, was das anbelangt) weg, wie man sich nur vorstellen kann. Aber sogar ich traue mich mit relativer Gewissheit zu sagen, dass ein potentiell korrumpierter Stack in einem wichtigen Bestandteil der C/C++-API von YARA eine wirklich hässliche Sache ist.

Auf den ersten Blick lässt sich das Problem wohl trivial lösen, wenn man die aktualisierte Version verwendet ist man auf der sicheren Seite. Das Einspielen eines Updates ist für mich als Analyst nicht unbedingt die größte aller Herausforderungen.

Aber: YARA kommt wohl, auf die eine oder andere Art und Weise, im Großteil der Sandboxen, Antivirenlösungen und sonstigen Sicherheitsapplikationen, sowohl kommerziell als auch quelloffen, zum Einsatz. In vielen Produkten oder Lösungen ist es sogar ein integraler, tief im System verankerter Bestandteil. Das Einspielen einer neuen Version ist hier oft zeitaufwendig, manchmal komplex, und unter Umständen sogar ein Großprojekt. Was bedeutet, dass es in vielen Fällen eine lange Zeit dauern wird bis diese Sicherheitslücke geschlossen wird.

Mir ist bewusst, dass das nicht notwendigerweise ein Weltuntergang ist. Ohne größere Teile des Quellcodes der Software ausführlich durchgearbeitet zu haben kann ich nicht vertrauenswürdig beurteilen, wie trivial eine Ausnutzung der Schwachstelle ist, oder wie zuverlässig sich damit Codeausführung erreichen lassen würde (beispielsweise durch ein Sample, dass sich gezielt gegen meine Sandbox richtet).

Es ist aber dennoch eine subtil unangenehme Erinnerung daran, wie komplex moderne IT-Infrastruktur ist - und wie komplex wiederum die Systeme, die diese schützen sollen, ebenfalls sind. Mit allen Problemen die mit dieser Tatsache einhergehen.