node-tar: Race Condition durch Unicode-Kollisionen auf macOS ermöglicht File Overwrite

Im npm-Paket tar (node-tar) wurde eine sicherheitsrelevante Race-Condition-Schwachstelle entdeckt, die speziell macOS-Systeme mit APFS- oder HFS+-Dateisystemen betrifft. Die Lücke ist als GHSA-r6q2-hw4h-h46w veröffentlicht und betrifft alle Versionen bis einschließlich 7.5.3. Version 7.5.4 schließt das Problem.

Ursache ist eine fehlerhafte Behandlung von Unicode-Pfadnormalisierung im sogenannten Path-Reservations-Mechanismus. Dieser soll eigentlich sicherstellen, dass Dateioperationen auf identischen Pfaden serialisiert werden. Auf macOS-Dateisystemen, die Unicode-Normalisierung und Groß-/Kleinschreibung teilweise ignorieren, können jedoch kollidierende Pfade wie „ß“ und „ss“ auf denselben Inode abgebildet werden, ohne dass node-tar diese Kollision korrekt erkennt.

Dadurch ist es möglich, dass mehrere Archiveinträge mit kollidierenden Dateinamen parallel verarbeitet werden. Angreifer können dies ausnutzen, um interne Sperrmechanismen zu umgehen und Race Conditions zu erzeugen, die unter anderem Symlink-Poisoning und das Überschreiben beliebiger Dateien erlauben. Voraussetzung ist das Entpacken eines präparierten TAR-Archivs, etwa aus einer externen oder nicht vertrauenswürdigen Quelle.

Das Risiko betrifft insbesondere Anwendungen, Build-Prozesse oder Entwickler-Tools, die node-tar programmgesteuert auf macOS einsetzen. Andere Plattformen sind weniger stark betroffen, da das Verhalten von Unicode-Normalisierung dort abweicht.

Als Gegenmaßnahme wird dringend empfohlen, auf node-tar 7.5.4 zu aktualisieren. Nutzer, die kurzfristig nicht upgraden können, sollten beim Entpacken externer Archive symbolische Links konsequent herausfiltern, um Arbitrary-File-Overwrite-Angriffe über Namenskollisionen zu verhindern.

Related Posts

Facebook-Phishing: Angreifer setzen verstärkt auf Browser-in-the-Browser-Technik

Cyberkriminelle nutzen zunehmend die sogenannte Browser-in-the-Browser-(BitB)-Methode, um Facebook-Nutzer zur Preisgabe ihrer Zugangsdaten zu verleiten. Laut Beobachtungen von Trellix ist diese Technik in den vergangenen sechs Monaten vermehrt in Phishing-Kampagnen gegen Facebook im Einsatz und stellt eine deutliche Weiterentwicklung klassischer Login-Betrugsmaschen dar.

Read More

Kritische Schwachstelle in React Router und Remix ermöglicht unautorisierten Dateizugriff

In den Paketen @react-router/node sowie @remix-run/node und @remix-run/deno wurde eine kritische Sicherheitslücke (CVE-2025-61686) entdeckt, die beim Einsatz von createFileSessionStorage() mit unsignierten Cookies auftritt. Betroffen sind React Router Versionen von 7.0.0 bis einschließlich 7.9.3 sowie Remix v2 bis Version 2.17.1.

Read More

Reprompt: One-Click-Angriff auf Microsoft Copilot erlaubte verdeckte Datenabflüsse

Varonis hat mit „Reprompt“ einen Angriff beschrieben, der in Microsoft Copilot Personal mit nur einem Klick auf einen legitimen Microsoft-Copilot-Link eine verdeckte Datenabfluss-Kette auslösen konnte. Die Methode nutzte unter anderem den URL-Parameter q, um Prompts beim Öffnen der Copilot-Webseite automatisch auszuführen – ohne dass Nutzer aktiv etwas in Copilot eingeben mussten.

Read More