Full Disclosure als Notwehr: Der Cursor Zero Day

Full Disclosure – also das Veröffentlichen der Beschreibung einer Sicherheitslücke, auch ohne dass der Hersteller einen Patch bereitstellt – war keine Erfindung geltungssüchtiger Egomanen. Und schon gar nicht handelten die Protagonisten unverantwortlich wie es die Mär der „Responsible Disclosure“ impliziert. Die vollständige Offenlegung war die verzweifelte Reaktion engagierter Sicherheitsforscher auf Hersteller, die versuchten, Sicherheitsprobleme unter den Teppich zu kehren oder schlicht ignorierten. Oder wie es Leonard Rose, einer der Gründer der gleichnamigen Mailingliste, bereits 2002 formulierte: „Soweit wir wissen, ist Full Disclosure der einzige Weg, um sicherzustellen, dass alle – nicht nur die Insider – Zugang zu den Informationen haben, die wir benötigen.“

Wie aktuell das jetzt wieder ist, illustriert eine kritische Lücke in Cursor, einer weitverbreiteten IDE mit KI-Unterstützung. Da genügt es, dass ein Repository eine (bösartige) Datei namens „git.exe“ enthält. Sobald ein Entwickler in Cursor ein Projekt öffnet, das auf dieses Repo verweist, führt es diese Datei mit seinen Rechten aus. Das ist dann Game-Over, denn ein Infostealer wird sofort alle Passwörter und Zugangs-Credentials auslesen und seinem Herrn und Meister schicken. Aaron Portnoy entdeckte diese Lücke im Dezember 2025 und meldete sie unverzüglich dem Hersteller. Seither hat er mehrfach dort nachgehakt. Doch mehr als ein halbes Jahr und 197+ neue Versionen später ist dieses Problem immer noch vorhanden; es gibt keinen Fix. Deshalb hat Aaron die Reißleine gezogen und veröffentlicht das Ganze jetzt via Full Disclosure – also ohne Patch, nur mit den von ihm vorgeschlagenen Mitigations als Schutz.

Die „Vulnocalypse“ beerdigt Coordinated Disclosure

Derzeit gibt es eine wahre Schwemme an Zero-Day-Lücken; viele Hersteller und auch Open-Source-Teams kommen mit dem Patchen kaum noch hinterher. Was diesen Fall besonders macht und ihn etwa vom Zero-Day-Drama rund um Nightmare Eclipse oder „bikinis“ ständig wachsender, öffentlicher 0day-Sammlung Exploitarium unterscheidet, ist die Person dahinter. Denn die ist kein Unbekannter, sondern ganz im Gegenteil in Sicherheitskreisen seit Langem gut bekannt.

Denn Aaron Portnoy hat nicht nur selbst unzählige Sicherheitslücken gefunden und in Zusammenarbeit mit Herstellern aus der Welt geschafft. Er verantwortete unter anderem viele Jahre als leitender Sicherheitsforscher der Zero Day Initiative eines der ersten großen Programme für Coordinated Disclosure und gründete 2007 den Hacker-Wettbewerb pwn2own. Wenn jemand weiß, wie Disclosure funktioniert, dann Aaron. Und wenn der zur unkoordinierten Full Disclosure greift, dann brennt die Hütte. Oder wie mein Kollege Christopher Kunz gerade von der Seitenlinie achselzuckend einwirft: „Meine Rede: Coordinated Disclosure is over.“

Jürgen Schmidt

Jürgen Schmidt leitete viele Jahre das Ressort Security bei c’t, gründete heise Security und ist mittlerweile Senior Fellow Security bei Heise. Aktuell baut er mit heise Security Pro (www.heise.de/heisec-pro) eine Community für IT-Professionals auf, die sich in Unternehmen um deren Sicherheit kümmern.

Diese Analyse schrieb Jürgen Schmidt ursprünglich für den exklusiven Newsletter von heise security PRO, wo er jede Woche das Geschehen in der IT-Security-Welt für Sicherheitsverantwortliche in Unternehmen einordnet.

(ju)