Een Zweedse hacker die onder de schuilnaam Acidgen opereert, heeft afgelopen week de details gepubliceerd van een lek in de Music Maker-software van het Duitse Magix AG. In versie 16 van het programma zit een bug die een stack buffer overflow kan veroorzaken. Aanvallers kunnen zo, in theorie, willekeurige code uitvoeren. Een proof of concept van een geslaagde exploit ontbreekt op het forum, maar de hacker zou deze wel naar Magix hebben gestuurd.

Voordat hij de stap tot openbaring ondernam, heeft Acidgen de uitgever meerdere malen benaderd over het lek. Magix en de hacker hielden contact via de mail, en het lek werd gedicht in de opeenvolgende versie.

Dat was reden genoeg voor Acidgen om de details te publiceren op een forum. Nog voor de openbaring heeft Acidgen Magix op de hoogte gesteld van zijn intenties.

Dreigement

Maar vlak voor de publicatie van het lek kreeg hij een brief van de advocaat van Magix met de melding dat het bedrijf het daar niet mee eens is. “MAGIX kan niet waarderen dat u voornemens bent om de Exploit te publiceren en zo onherstelbare schade berokkent”, zo staat in de ronkende Engelstalige brief. “Zoals u wellicht weet is het verboden om software uit te geven met het doel computersabotage te plegen (zie Art. 202C I No. 2 Duits Strafrecht). Daarbij kan deze aankondiging en uw aanbod om de kwetsbaarheid te repareren door uw bedrijf worden gezien als een poging tot afpersing.” Ook wordt in de brief geopperd dat Magix juridische stappen zal ondernemen tegen de hacker, en dat antivirus-leveranciers worden gewaarschuwd voor een mogelijk virus gebaseerd op de bevindingen van de hacker.

Draconisch en vaag

De advocaat verwijst in de brief naar een drie jaar oude bepaling in de Duitse wet die berucht is om zijn vage bewoordingen en brede kader. Eerder dit jaar heeft de Duitse hacker Thomas Roth te maken gehad met een inval van de politie, vanwege zijn optreden tijdens de Black Hat conferentie. Daar had hij een methode gedemonstreerd om wachtwoorden snel te kraken.

Tegenover Dark Reading reageert een Duitse jurist dat hij Magix in een eventuele zaak tegen de hacker weinig kansen toedicht en dat het waarschijnlijk om een loos dreigement gaat. Toch heeft het een beetje effect gehad: hoewel Acidgen wel de details van het lek zelf heeft vrijgegeven, heeft hij vooralsnog de proof of concept onder de pet gehouden.