Abo
  • Services:
Anzeige

Sicherheitslücke in WinZip erlaubt Programmausführung

Angreifer können schadhaften Programmcode in MIME-kodierten Dateien ablegen

Das in der Windows-Welt verbreitete Kompressions-Tool WinZip weist in zahlreichen Versionen ein Sicherheitsleck auf, worüber Angreifer beliebigen Programmcode auf einem anderen System ausführen können. Das Sicherheitsloch betrifft alle früheren WinZip-Fassungen ab Version 6.2 - lediglich das kürzlich erschienene WinZip 9 weist das Sicherheitsrisiko nicht mehr auf. Patches für ältere WinZip-Versionen bietet der Hersteller jedoch nicht an.

So verursachen die betroffenen Versionen von WinZip einen Buffer Overflow, wenn präparierte und seltener häufig verwendete MIME-kodierte Dateien mit WinZip geöffnet werden, wie Experten von iDefense herausgefunden haben. Das Sicherheitsleck erlaubt einem Angreifer so, über Dateien der Endungen .MIM, .UUE, .UU, .B64, .BHX, .HQX und .XXE beliebigen Programmcode innerhalb des Archivs auf ein fremdes System zu schleusen und sich dadurch eine weit reichende Kontrolle über das System zu verschaffen. Ein potenzielles Opfer muss lediglich dazu gebracht werden, eine solche Datei mit einer älteren WinZip-Version zu öffnen.

Anzeige

Normalerweise enthalten MIME-Dateien keinen direkt ausführbaren Programmcode, so dass Nutzer sich hier in fälschlicher Sicherheit wiegen. Ein Angreifer kann derartige Dateien etwa in E-Mails einbinden, auf Internetseiten zum Download anbieten oder über Peer-to-Peer-Netzwerke bereitstellen, um so das Sicherheitsleck auf fremden Systemen auszunutzen.

Der Hersteller bietet lediglich WinZip 9 an, worin das Sicherheitsleck geschlossen wurde. Für Vorversionen werden keine Patches angeboten. Registrierte WinZip-Nutzer erhalten die aktuelle Version kostenlos, allerdings steht bislang nur die englischsprachige Version zur Verfügung. Da das Sicherheitsloch andere Packer-Programme nicht betrifft, kann zur Abhilfe auch eines dieser Packer-Tools verwendet werden.


eye home zur Startseite
Michael 13. Mär 2004

Alternativ gibt es auch noch Filzip. Aber WinZip nutze ich schon seit Jahren nicht mehr.

Peter 01. Mär 2004

Winzip ist und war schon immer Standard. Ist genau wie die Sache mit Windows, war und ist...

SuperIO 01. Mär 2004

Ich frage mich schon die ganze Zeit: Warum wird WinZip 9 (auch hier) so gepuscht? WinZip...

Blar 01. Mär 2004

Ist eine neue Version nix? Eine alte Version ist ja Updatefähig auf die neue WinZip 9...



Anzeige

Stellenmarkt
  1. BWI GmbH, Bonn
  2. Bertrandt Technikum GmbH, Ehningen bei Stuttgart
  3. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  4. endica GmbH, Karlsruhe, Heilbronn, Freiburg


Anzeige
Blu-ray-Angebote
  1. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 14,99€)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 74,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Fritzbox

    In Bochum beginnen Gigabit-Nutzertests von Unitymedia

  2. PC

    Geld für Intel Inside wird stark gekürzt

  3. Firmware

    Intel will ME-Downgrade-Attacken in Hardware verhindern

  4. Airgig

    AT&T testet 1 GBit/s an Überlandleitungen

  5. Zenfone 4 Pro

    Asus' Top-Smartphone kostet 850 Euro

  6. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  7. Lohn

    Streik bei Amazon an zwei Standorten

  8. Vorratsdatenspeicherung

    Die Groko funktioniert schon wieder

  9. FTTH/B

    EWE und Telekom investieren zwei Milliarden Euro in FTTH/B

  10. Honor 7X, Moto X4 und U11 Life im Test

    Drei gute Alternativen zu teuren Smartphones



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

Kilopower: Ein Kernreaktor für Raumsonden
Kilopower
Ein Kernreaktor für Raumsonden
  1. Raumfahrt Nasa zündet Voyager-Triebwerke nach 37 Jahren
  2. Bake in Space Bloß keine Krümel auf der ISS
  3. Raumfahrtpionier Der Mann, der lange vor SpaceX günstige Raketen entwickelte

Kingdom Come Deliverance angespielt: Und täglich grüßt das Mittelalter
Kingdom Come Deliverance angespielt
Und täglich grüßt das Mittelalter

  1. Re: 4K 30fps

    backdoor.trojan | 16:23

  2. Re: Golem Was soll das? Überschrift geht ja garnicht

    Elgareth | 16:22

  3. Re: Dragon Quest Builders

    Dwalinn | 16:21

  4. Re: Im Prinzip wie der 27UD88-W nur eben größer...

    Askaaron | 16:20

  5. Re: In 1000 Jahren...

    Dwalinn | 16:19


  1. 16:00

  2. 15:29

  3. 15:16

  4. 14:50

  5. 14:25

  6. 14:08

  7. 13:33

  8. 12:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel