Het beveiligingsbedrijf Edera heeft een ernstige kwetsbaarheid ontdekt in de populaire Rust-library async-tar en in de daarvan afgeleide forks. Deze kwetsbaarheid, die de naam TARmageddon draagt, maakt het mogelijk voor kwaadwillenden om op afstand code uit te voeren via de getroffen softwarecomponenten.

De kwetsbaarheid ligt in de manier waarop async-tar archiefbestanden verwerkt. Door misbruik van de kwetsbaarheid kunnen aanvallers schadelijke payloads injecteren die er voor zorgen dat de code van de aanvaller met de rechten van het doelprogramma wordt uitgevoerd. Dit kan leiden tot ongeautoriseerde controle over systemen waarop deze bibliotheken draaien, wat aanzienlijk veiligheidsrisico oplevert voor toepassingen die gebruikmaken van async-tar.

De Rust-library async-tar wordt veel gebruikt voor het manipuleren van tar-archieven asynchroon, wat efficiëntievoordelen oplevert bij toepassingen die met dergelijke bestanden werken. Omdat forks van async-tar ook kwetsbaar zijn, breidt het potentieel risico zich uit naar een bredere groep projecten binnen het ecosysteem die afgeleid zijn van deze library.

Beveiligingsadviseurs raden gebruikers en ontwikkelaars aan om versies van async-tar en afgeleide forks te updaten naar de meest recente, gepatchte releases waarin de TARmageddon-kwetsbaarheid is verholpen. Verder wordt aangeraden om bestaande systemen en toepassingen te scannen op gebruik van de kwetsbare libraries en passende mitigatiemaatregelen te nemen om mogelijke aanvallen te voorkomen.

De ontdekking van deze kwetsbaarheid onderstreept het belang van grondige beveiligingstests en regelmatige updates binnen open-source softwareprojecten, zeker bij libraries die breed worden ingezet zoals async-tar. Door tijdig patchen en verbeterde beveiligingspraktijken kunnen de risico’s van exploits zoals TARmageddon aanzienlijk worden beperkt.