Auch Antivirensoftware: Winrar-Schwachstelle betrifft womöglich weitere Programme
Eine bereits am 2. August von Rarlab gepatchte schwerwiegende Sicherheitslücke mit der Bezeichnung CVE-2023-40477 bezieht sich offenbar nicht nur auf das als anfällig erachtete Archivierungstool Winrar selbst, sondern möglicherweise auch auf andere Programme, die eine ältere Version der Bibliotheken "unrar.dll" oder "unrar64.dll" verwenden. Nachdem Golem.de über die Schwachstelle berichtet hatte, wies Andreas Marx von AV-Test(öffnet im neuen Fenster) die Redaktion auf diesen Umstand hin.
In diesem Zusammenhang erklärte Marx, der Entwickler des Dateiexplorers Total Commander habe kürzlich ein entsprechendes Update veröffentlicht(öffnet im neuen Fenster) , das eine gepatchte Version der von Rarlab bereitgestellten unrar.dll einführt. "Auch andere Tools wie Ultraedit/Ultracompare bringen die Bibliothek mit" , so der IT-Security-Experte. Selbst Antivirenprogramme, die den Umgang mit Rar-Archiven unterstützen, seien potenziell betroffen.
Gegenüber Heise Online(öffnet im neuen Fenster) habe Marx sogar erklärt, er habe insgesamt "über 400 Programme" identifizieren können, die auf die Bibliothek von Rarlab zurückgreifen. "Das Ganze wird uns also sicherlich noch eine Weile begleiten" , so Marx in seiner E-Mail an die Golem.de-Redaktion.
7-Zip scheint nicht betroffen zu sein
Für Nutzer des beliebten freien Packprogramms 7-Zip hat dessen Entwickler Igor Pavlov bereits Entwarnung gegeben. Wie Pavlov auf Sourceforge andeutet(öffnet im neuen Fenster) , scheint seine Anwendung nicht von dem Problem betroffen zu sein. 7-Zip verwende weder die unrar.dll noch irgendwelche anderen Bestandteile des ursprünglichen Unrar-Quellcodes. "Der ursprüngliche unrar-Quellcode wurde nur als Referenz verwendet" , so der Entwickler.
Update schließt noch eine weitere aktiv ausgenutzte Schwachstelle
CVE-2023-40477 erlaubt es Angreifern, bösartige Befehle auf einem Zielsystem auszuführen. Die einzig dafür erforderliche Nutzerinteraktion ist das bloße Öffnen eines speziell präparierten Rar-Archivs. Zusätzlich zu dieser Schwachstelle schließt die neuste Winrar-Version 6.23(öffnet im neuen Fenster) auch noch eine von einem Sicherheitsforscher namens Andrey Polovinkin von der Group-IB Threat Intelligence Unit entdeckte Sicherheitslücke mit der Bezeichnung CVE-2023-38831 . Diese nutzen Angreifer angeblich bereits seit April aus, um sich Zugang zu Broker-Konten von Nutzern verschiedener Handels-, Investitions- und Kryptowährungsplattformen zu verschaffen und Gelder zu stehlen.
Nachtrag vom 28. August 2023, 17:28 Uhr
Herr Marx wies die Redaktion im Nachhinein darauf hin, dass eine mögliche Ausnutzung von CVE-2023-40477 für die einzelnen Anwendungen individuell beurteilt werden muss. Nicht jedes Programm, das die gefährdete DLL verwendet, macht automatisch Gebrauch von dem problematischen Code.