In den Versionen 5.3.3alpha bis einschließlich 5.8.0 von XZ Utils wurde eine schwerwiegende Sicherheitslücke entdeckt (CVE-2025-31115), die beim Einsatz des Multithread-Decoders zu einem Absturz oder potenziell gefährlichem Verhalten führen kann. Konkret kann es bei ungültigen Eingaben zur Verwendung bereits freigegebenen Speichers (Use-After-Free) sowie zu Schreibzugriffen auf ungültige Speicheradressen kommen.
Die Schwachstelle betrifft Anwendungen, die die Funktion lzma_stream_decoder_mt verwenden. Die einthreadige Variante (lzma_stream_decoder) ist davon nicht betroffen und kann als Workaround genutzt werden, etwa durch den Aufruf xz --decompress --threads=1 oder über das Tool xzdec.
Behoben wurde der Fehler mit Version 5.8.1. Ein Patch ist auch für ältere Versionen verfügbar. Die Entdeckung geht auf Harri K. Koskinen zurück, unterstützt wurde die Fehlerbehebung von Sebastian Andrzej Siewior und Sam James. Der Fehler blieb lange unentdeckt, da der Multithread-Decoder bislang nicht gezielt im Rahmen von OSS-Fuzz getestet wurde – dies wurde nun nachgeholt. Ein Update ist dringend empfohlen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: