• IT-Karriere:
  • Services:

Sicherheitslücke in WinZip erlaubt Programmausführung

Angreifer können schadhaften Programmcode in MIME-kodierten Dateien ablegen

Das in der Windows-Welt verbreitete Kompressions-Tool WinZip weist in zahlreichen Versionen ein Sicherheitsleck auf, worüber Angreifer beliebigen Programmcode auf einem anderen System ausführen können. Das Sicherheitsloch betrifft alle früheren WinZip-Fassungen ab Version 6.2 - lediglich das kürzlich erschienene WinZip 9 weist das Sicherheitsrisiko nicht mehr auf. Patches für ältere WinZip-Versionen bietet der Hersteller jedoch nicht an.

Artikel veröffentlicht am ,

So verursachen die betroffenen Versionen von WinZip einen Buffer Overflow, wenn präparierte und seltener häufig verwendete MIME-kodierte Dateien mit WinZip geöffnet werden, wie Experten von iDefense herausgefunden haben. Das Sicherheitsleck erlaubt einem Angreifer so, über Dateien der Endungen .MIM, .UUE, .UU, .B64, .BHX, .HQX und .XXE beliebigen Programmcode innerhalb des Archivs auf ein fremdes System zu schleusen und sich dadurch eine weit reichende Kontrolle über das System zu verschaffen. Ein potenzielles Opfer muss lediglich dazu gebracht werden, eine solche Datei mit einer älteren WinZip-Version zu öffnen.

Stellenmarkt
  1. Schoeller Technocell GmbH & Co. KG, Osnabrück
  2. ZIEHL-ABEGG SE, Künzelsau

Normalerweise enthalten MIME-Dateien keinen direkt ausführbaren Programmcode, so dass Nutzer sich hier in fälschlicher Sicherheit wiegen. Ein Angreifer kann derartige Dateien etwa in E-Mails einbinden, auf Internetseiten zum Download anbieten oder über Peer-to-Peer-Netzwerke bereitstellen, um so das Sicherheitsleck auf fremden Systemen auszunutzen.

Der Hersteller bietet lediglich WinZip 9 an, worin das Sicherheitsleck geschlossen wurde. Für Vorversionen werden keine Patches angeboten. Registrierte WinZip-Nutzer erhalten die aktuelle Version kostenlos, allerdings steht bislang nur die englischsprachige Version zur Verfügung. Da das Sicherheitsloch andere Packer-Programme nicht betrifft, kann zur Abhilfe auch eines dieser Packer-Tools verwendet werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Ironclaw 79,90€, K83 wireless Keyboard für 139,90€, K57 wireless Keyboard 104,90€)
  2. (u. a. Telefunken 32 Zoll für 99,99€, Techwood 40 Zoll für 224,99€)
  3. (aktuell u. a. Mushkin Pilot-E 2 TB SSD für 219,90€, HP 120 GB SSD für 20,99€)
  4. 99,99€

Michael 13. Mär 2004

Alternativ gibt es auch noch Filzip. Aber WinZip nutze ich schon seit Jahren nicht mehr.

Peter 01. Mär 2004

Winzip ist und war schon immer Standard. Ist genau wie die Sache mit Windows, war und ist...

SuperIO 01. Mär 2004

Ich frage mich schon die ganze Zeit: Warum wird WinZip 9 (auch hier) so gepuscht? WinZip...

Blar 01. Mär 2004

Ist eine neue Version nix? Eine alte Version ist ja Updatefähig auf die neue WinZip 9...


Folgen Sie uns
       


Golem-Akademie - Trainer Florian stellt sich vor

Vom Junior-Projektleiter zum IT-Director konnte Florian Schader sämtliche Facetten der IT-Welt gestalten und hat eine Leidenschaft entwickelt, diese Erfahrungen weiterzugeben. Seine Grundmotivation ist die aktive Weitergabe seiner 20-jährigen Projekt- und Leitungserfahrung im IT-Umfeld, der Erfolg von Projekten und die aktive Weiterentwicklung von Menschen. Dabei stellt er immer den Bezug zur Praxis her. Als Trainer und Coach ist er spezialisiert auf Projektmanagement und Führungskräfteentwicklung.

Golem-Akademie - Trainer Florian stellt sich vor Video aufrufen
DSGVO: Kommunen verschlüsseln fast nur mit De-Mail
DSGVO
Kommunen verschlüsseln fast nur mit De-Mail

Die Kommunen tun sich weiter schwer mit der Umsetzung der Datenschutz-Grundverordnung. Manche verstehen unter Daten-Verschlüsselung einen abschließbaren Raum für Datenträger.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Datenschmuggel US-Gericht schränkt Durchsuchungen elektronischer Geräte ein
  2. Digitale Versorgung Viel Kritik an zentraler Sammlung von Patientendaten
  3. Datenschutz Zahl der Behördenzugriffe auf Konten steigt

Fritzbox mit Docsis 3.1 in der Praxis: Hurra, wir haben Gigabit!
Fritzbox mit Docsis 3.1 in der Praxis
Hurra, wir haben Gigabit!

Die Fritzbox 6591 Cable für den Einsatz in Gigabit-Kabelnetzen ist seit Mai im Handel erhältlich. Wir haben getestet, wie schnell Vodafone mit Docsis 3.1 tatsächlich Daten überträgt und ob sich der Umstieg auf einen schnellen Router lohnt.
Ein Praxistest von Friedhelm Greis

  1. Kabelnetz Ausgaben für Docsis 3.1 nicht sehr hoch
  2. Nodesplits Vodafone bietet 500 MBit/s für 20 Millionen Haushalte
  3. Sercomm Kabelmodem für bis zu 2,5 GBit/s vorgestellt

Social Engineering: Die Mitarbeiter sind unsere Verteidigung
Social Engineering
"Die Mitarbeiter sind unsere Verteidigung"

Prävention reicht nicht gegen Social Engineering und die derzeitigen Trainings sind nutzlos, sagt der Sophos-Sicherheitsexperte Chester Wisniewski. Seine Lösung: Mitarbeiter je nach Bedrohungslevel schulen - und so schneller sein als die Kriminellen.
Ein Interview von Moritz Tremmel

  1. Social Engineering Mit künstlicher Intelligenz 220.000 Euro erbeutet
  2. Social Engineering Die unterschätzte Gefahr

    •  /