Abo
  • Services:
Anzeige

Sicherheitslücke in WinZip erlaubt Programmausführung

Angreifer können schadhaften Programmcode in MIME-kodierten Dateien ablegen

Das in der Windows-Welt verbreitete Kompressions-Tool WinZip weist in zahlreichen Versionen ein Sicherheitsleck auf, worüber Angreifer beliebigen Programmcode auf einem anderen System ausführen können. Das Sicherheitsloch betrifft alle früheren WinZip-Fassungen ab Version 6.2 - lediglich das kürzlich erschienene WinZip 9 weist das Sicherheitsrisiko nicht mehr auf. Patches für ältere WinZip-Versionen bietet der Hersteller jedoch nicht an.

So verursachen die betroffenen Versionen von WinZip einen Buffer Overflow, wenn präparierte und seltener häufig verwendete MIME-kodierte Dateien mit WinZip geöffnet werden, wie Experten von iDefense herausgefunden haben. Das Sicherheitsleck erlaubt einem Angreifer so, über Dateien der Endungen .MIM, .UUE, .UU, .B64, .BHX, .HQX und .XXE beliebigen Programmcode innerhalb des Archivs auf ein fremdes System zu schleusen und sich dadurch eine weit reichende Kontrolle über das System zu verschaffen. Ein potenzielles Opfer muss lediglich dazu gebracht werden, eine solche Datei mit einer älteren WinZip-Version zu öffnen.

Anzeige

Normalerweise enthalten MIME-Dateien keinen direkt ausführbaren Programmcode, so dass Nutzer sich hier in fälschlicher Sicherheit wiegen. Ein Angreifer kann derartige Dateien etwa in E-Mails einbinden, auf Internetseiten zum Download anbieten oder über Peer-to-Peer-Netzwerke bereitstellen, um so das Sicherheitsleck auf fremden Systemen auszunutzen.

Der Hersteller bietet lediglich WinZip 9 an, worin das Sicherheitsleck geschlossen wurde. Für Vorversionen werden keine Patches angeboten. Registrierte WinZip-Nutzer erhalten die aktuelle Version kostenlos, allerdings steht bislang nur die englischsprachige Version zur Verfügung. Da das Sicherheitsloch andere Packer-Programme nicht betrifft, kann zur Abhilfe auch eines dieser Packer-Tools verwendet werden.


eye home zur Startseite
Michael 13. Mär 2004

Alternativ gibt es auch noch Filzip. Aber WinZip nutze ich schon seit Jahren nicht mehr.

Peter 01. Mär 2004

Winzip ist und war schon immer Standard. Ist genau wie die Sache mit Windows, war und ist...

SuperIO 01. Mär 2004

Ich frage mich schon die ganze Zeit: Warum wird WinZip 9 (auch hier) so gepuscht? WinZip...

Blar 01. Mär 2004

Ist eine neue Version nix? Eine alte Version ist ja Updatefähig auf die neue WinZip 9...



Anzeige

Stellenmarkt
  1. über D. Kremer Consulting, Gütersloh
  2. Bertrandt Services GmbH, Hannover
  3. Haufe Group, Bielefeld
  4. implexis GmbH, Braunschweig


Anzeige
Hardware-Angebote
  1. und bis zu 50€ Cashback erhalten bei Alternate.de
  2. 59,90€

Folgen Sie uns
       


  1. Google

    Deep-Learning-System analysiert Augenscans nach Krankheiten

  2. Smartphone-Tastatur

    Nuance stellt Swype ein

  3. Homebrew

    Bastler veröffentlichen alternativen Launcher für Switch

  4. Telekom

    15 Millionen Haushalte sollen 2018 Super Vectoring erhalten

  5. Windows Phone 7.5 und 8.0

    Microsoft schaltet Smartphone-Funktionen ab

  6. Raja Koduri

    Intel zeigt Prototyp von dediziertem Grafikchip

  7. Vizzion

    VW zeigt selbstfahrendes Auto ohne Lenkrad

  8. iOS, MacOS und WatchOS

    Apple verteilt Updates wegen Telugu-Bug

  9. Sicherheitslücken

    Mehr als 30 Klagen gegen Intel wegen Meltdown und Spectre

  10. Nightdive Studios

    Arbeit an System Shock Remake bis auf Weiteres eingestellt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Hightech im Haushalt: Der Bügel-Battle fällt leider aus
Hightech im Haushalt
Der Bügel-Battle fällt leider aus
  1. Smart Home Hardwareteams von Nest und Google werden zusammengeführt
  2. Lingufino Sprachgesteuerter Kobold kuschelt auch mit Datenschützern
  3. Apple Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

Black Panther: Spezialeffekte für Hollywood aus Berlin
Black Panther
Spezialeffekte für Hollywood aus Berlin
  1. Portal Facebook plant zwei smarte Lautsprecher mit Display
  2. Roli Blocks im Test Wenn der Kollege die Geige jaulen lässt
  3. Kaputtes Lizenzmodell MPEG-Gründer sieht Videocodecs in Gefahr

Flexispy: Wir lassen uns Spyware installieren
Flexispy
Wir lassen uns Spyware installieren
  1. Staatstrojaner Finspy vom Innenministerium freigegeben
  2. Adobe Zero-Day in Flash wird ausgenutzt
  3. Shodan + Metasploit Autosploit macht Hacken kinderleicht und gefährlich

  1. Re: Ankündigungsweltmeister (kT)

    Luke321 | 11:10

  2. Re: Sicherheitsmängel

    PiranhA | 11:10

  3. Re: Ich bin dermaßen sauer

    jsm | 11:09

  4. Re: Falsche Information

    M.P. | 11:09

  5. Re: Wieviel Upload dann? (Kt)

    Ugly | 11:07


  1. 11:07

  2. 10:40

  3. 10:23

  4. 10:04

  5. 08:51

  6. 06:37

  7. 06:27

  8. 00:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel