OrcaSlicer behebt Sicherheitslücke: Böswillige 3MF-Dateien konnten Daten überschreiben
Die OrcaSlicer-Version 2.3.2 wurde diese Woche veröffentlicht und bringt eine beachtliche Liste an Verbesserungen und Korrekturen mit sich. Ein Highlight ist die Behebung einer Sicherheitslücke im Zusammenhang mit 3MF-Dateien. Darüber hinaus bietet das Update zahlreiche Verbesserungen der Benutzerfreundlichkeit, die sich insbesondere an Linux-Nutzer richten.
Wir hatten bereits die vorherige stabile Version im Oktober 2025 behandelt, und wie schon beim Vorgänger bringt auch dieses Update einige Fehlerbehebungen und neue Funktionen mit sich. Der größte Aufhänger ist jedoch die Behebung einer bislang nicht öffentlich bekannten Sicherheitslücke beim Import von 3MF-Dateien.
Den Release Notes auf GitHub zufolge verhindert der Fix, dass .3mf-Dateien — die zunehmend zum Standard für komplexe Multi-Plate- oder Multicolor-Projekte werden — Daten an beliebige Orte im System schreiben können. Dies könnte im schlimmsten Fall die Ausführung von Schadcode ermöglichen.
Im Grunde genommen sind 3MF-Dateien eine Art ZIP-Archiv. In der Praxis kommt man damit jedoch kaum direkt in Berührung, da der Slicer das Entpacken im Hintergrund übernimmt. Genau hier setzt diese Art von Schwachstelle an, die umgangssprachlich als „Zip-Slip“ bezeichnet wird. SoftFever, Hauptverantwortlicher für OrcaSlicer, erklärte dazu: „Vereinfacht gesagt: Ein Angreifer könnte eine speziell präparierte .3mf-Datei erstellen, die beim Öffnen in Orca Slicer unbemerkt vom Angreifer kontrollierte Dateien an beliebige Orte auf der Festplatte schreibt — außerhalb der Bereiche, auf die OrcaSlicer eigentlich zugreifen sollte…“ Weiter heißt es: „Allein das Öffnen einer ‚Projektdatei‘ aus einer nicht vertrauenswürdigen Quelle kann Ihr System gefährden.“
Solche Dateien könnten theoretisch in Modellbibliotheken hochgeladen werden, wie ganz normale druckbare Dateien erscheinen und funktionieren — und erst beim Herunterladen und Verwenden das System kompromittieren. Aktuell sind uns jedoch keine Fälle bekannt, in denen diese Schwachstelle aktiv ausgenutzt wurde.
„Das Problem wurde uns verantwortungsbewusst vom Nutzer ‚Zekun Shen‘ gemeldet, der großes Lob verdient – er hat eine detaillierte Analyse, einen funktionierenden Proof of Concept und sogar konkrete Schritte zur Erstellung einer solchen schadhaften .3mf-Datei geliefert“, so SoftFever weiter. „Das hat es uns deutlich erleichtert, den Umfang des Problems zu verstehen und schnell zu beheben.“
Da Orca Slicer ein Fork von Bambu Studio ist, das wiederum auf PrusaSlicer basiert, stellt sich naheliegenderweise die Frage, ob diese Schwachstelle auch in diesen Projekten vorhanden ist. Laut SoftFever wurde das Problem bereits beim ursprünglichen Fork von Bambu Studio übernommen.
Ein Vertreter von Bambu Lab teilte uns mit, dass „Bambu Studio diese Schwachstelle nicht enthält“. Von Prusa liegt bislang noch keine Rückmeldung vor, ob dort ein ähnliches Problem besteht. Es ist jedoch davon auszugehen, dass andere Slicer, die auf älteren Orca-Versionen vor 2.3.2 basieren, diesen Fix ebenfalls in ihre Codebasis integrieren müssen — sofern dies nicht bereits geschehen ist.
Was ist neu in Orca Slicer
Linux-Benutzer profitieren wohl am meisten von dieser Version. Version 2.3.2 behebt eine Reihe plattformspezifischer Probleme, die Desktop-Anwendungen unter Linux betroffen haben, darunter Rendering-Fehler mit schwarzem Bildschirm, eine doppelte Titelleiste in bestimmten Window-Managern sowie Einschränkungen bei der Wayland-Unterstützung.
Besonders wichtig für fortgeschrittene Anwender ist zudem, dass die Kommandozeile (CLI) — etwa für den Einsatz in Druckfarmen oder automatisierten Slicing-Workflows — nun wieder zuverlässig funktioniert.
Neben der Behebung der 3MF-Sicherheitslücke und den Verbesserungen für Linux bringt diese neue Version von Orca Slicer auch einige neue Funktionen mit, die die Anpassbarkeit und das Nutzungserlebnis weiter verbessern.
Für Multi-Material-Setups mit nur einem Extruder, die einen Wipe Tower zur Sicherstellung der Druckqualität verwenden, steht nun ein zweiter Turmtyp zur Verfügung. Zuvor wurde die Auswahl automatisch durch das jeweilige Druckermodell bestimmt, jetzt kann frei gewählt werden. „Typ 1“ bleibt weiterhin die Standardoption für Drucker von Bambu Lab und Qidi Tech, während Entwickler allen anderen mit MMU-Systemen, Filament-Cutter und Toolchanger-Druckern den „Typ 2“ empfehlen.
Weitere Änderungen umfassen Anpassungen an Benutzeroberfläche und Nutzererlebnis (UI/UX) sowie eine Reihe neuer Drucker- und Materialprofile. Eine vollständige Übersicht über alle Neuerungen in OrcaSlicer v2.3.2 findet sich in den Release Notes auf GitHub oder auf der offiziellen Website. (Vorsicht vor Fälschungen — davon gibt es viele. Nur orcaslicer.com ist die offizielle Seite.)
Auch interessant:
- Saubere Luft in der Werkstatt: Alveo3D stellt neue Profi-Absauger FE150 und FE350 vor
- Anycubic Kobra X mit Mehrfarbdruck jetzt für 269 € im Frühlingsangebot
- Prusas MMU3 erhält abschließendes Firmware-Upgrade; Core One L setzt künftig auf DIY-Lösung
Keine Lust mehr auf Lesen? Probieren Sie es doch mal mit Zuhören:
Lizenz: Der Text von "OrcaSlicer behebt Sicherheitslücke: Böswillige 3MF-Dateien konnten Daten überschreiben" von All3DP unterliegt der Creative Commons Attribution 4.0 International License.