Sechs Schwachstellen wurden in protobuf.js entdeckt, einer Schlüsselbibliothek für Node.js, die Remotecodeausführung oder Denial-of-Service ermöglichen. Das Problem ist nicht nur technischer Natur: Die Projektbetreuer sind Freiwillige ohne Finanzierung, während Giganten wie Google die Bibliothek nutzen, ohne zu ihrer Sicherheit beizutragen.
Fehler in der Serialisierung öffnen die Tür für Angriffe 🛡️
Die Schwachstellen betreffen die Pufferverwaltung und die Typvalidierung in protobuf.js, wodurch ein Angreifer fehlerhafte Nachrichten senden kann, die den Speicher überlaufen lassen oder beliebigen Code ausführen. Die Ursache des Problems liegt im fehlenden Budget für kontinuierliche Audits. Große Unternehmen sind für kritische Systeme auf diese Bibliothek angewiesen, investieren aber nicht in deren Wartung und überlassen die Sicherheit einigen wenigen unbezahlten Entwicklern.
Open Source: Wo Konzerne fordern, aber nicht zahlen 💸
Google, Amazon und andere nutzen protobuf.js, um Daten in ihren Clouds zu bewegen, aber wenn Fehler auftauchen, schreibt ein Freiwilliger den Patch zwischen zwei Schichten seiner eigentlichen Arbeit. Es ist, als würde man den Nachbarn bitten, kostenlos auf das Haus aufzupassen, und sich dann beschweren, dass er keine besseren Schlösser angebracht hat, wenn ein Einbrecher kommt. Der Bürger vertraut auf Systeme, die mit Kaffee und gutem Willen aufrechterhalten werden, während die Unternehmen Millionen verdienen.