Lek gevonden in veelgebruikt compressieprogramma

Den Haag, 9.54 uur - Een beveiligingsdeskundige uit het Gentoo Linux-team heeft een fout gevonden in zlib. Zlib is een veelgebruikte open-sourcecomponent voor het comprimeren en decomprimeren van gegevens.

Uit tests bleek dat één van de bewerkingen die de compressiemodule uitvoert, niet checkt of de binnenkomende data valide zijn. Daardoor kan een 'buffer overflow' uitgelokt worden, en dat is een gekend mechanisme om van buitenaf code binnen te smokkelen op een computer. In het geval van zlib is het de vraag of langs die weg de computer ook daadwerkelijk overgenomen kan worden. Vast staat wel dat het mechanisme gebruikt kan worden om de computer te laten crashen.

De compressie/decompressiebibliotheek wordt niet alleen in veel open-sourcetoepassingen gebruikt, maar wordt ook toegepast door leveranciers van fabrikanteigen software en bijvoorbeeld ook in de Xbox-spelcomputer en in mobiele telefoons.

De fout schuilt in versie 1.2.2 van zlib, en waarschijnlijk ook in oudere versies. Momenteel wordt gewerkt aan een nieuwe versie, die de fout elimineert. Fabrikanten die zlib hebben toegepast, kunnen het benutten van het lek ook voorkomen door zlib op iets andere wijze te implementeren in hun software. Voor de meeste Linux-distributies, inclusief Suse, Red Hat, Gentoo, en Debian, is zo'n aangepaste versie inmiddels beschikbaar, evenals voor FreeBSD.

Microsoft onderzoekt de kwestie nog, meldt CNet. De versies van Windows die nog ondersteund worden, zijn in ieder geval niet gevoelig voor misbruik van het zlib-lek. Microsoft past zlib ook toe in Office, MSN Messenger en Internet Explorer. (Jelle Wijkstra)