Path Traversal Sicherheitslücke in Ark

Fr, 31. Juli 2020, Lioh Möller

Ark

Der Sicherheitsforscher Dominik Penner von of Hackers for Change hat eine Lücke im KDE Archivierungsprogramm Ark entdeckt. Die sogenannte Path Traversal Lücke erlaubt es Dateien in beliebigen Verzeichnissen auf welche die Person Zugriff hat, die das Archiv entpacken will, zu erstellen. So wäre es beispielsweise möglich ein Script in den Autostart Ordner ~/.config/autostart abzulegen welches Schadcode ausführt.

Dazu würde es ausreichen das ein Archiv beispielsweise folgende Datei enthält: "../../../.config/autostart/boeser_code.desktop". Diese würde, sofern korrekt strukturiert, beim nächsten Login des Benutzers ausgeführt.

Die Lücke ist grundsätzlich als trivial zu betrachten und konnte daher bereits in der aktuellen Version von Ark korrigiert werden.

Quelle: https://kde.org/info/security/advisory-20200730-1.txt