• IT-Karriere:
  • Services:

Dateikompression: Bug in 7-Zip 18.01 ermöglicht Codeausführung beim Entpacken

Ein Bug macht sich uninitialisierten Speicher zunutze, um darüber beliebigen Code beim Entpacken von Dateiarchiven mit 7-Zip auszuführen. Ein Softwareentwickler hat die Lücke entdeckt und zu Demonstrationszwecken ausgenutzt. Statt dem Windows-Taschenrechner könnte darüber auch Schlimmeres ausgeführt werden.

Artikel veröffentlicht am ,
7-Zip-Archive könnten infiziert sein.
7-Zip-Archive könnten infiziert sein. (Bild: Pixabay.com/Montage: Golem.de)

Der Betreiber des Security-Blogs Iandave.io hat einen Bug im kostenfreien Archivtool 7-Zip gefunden, mit dem sich Code nach dem Entpacken automatisch ausführen lässt. Er beschreibt das Problem und einen möglichen Exploit detailliert auf seiner Seite. Der Fehler hat die Kennziffer CVE-2018-10115 erhalten. Er tritt in Verbindung mit Solid Compression auf, einem RAR-Kompressionsverfahren, das einen ganzen Datenblock aus einer Datensammlung erstellt, etwa einem Ordner mit Unterordnern.

Stellenmarkt
  1. Ostbayerische Technische Hochschule Amberg-Weiden (OTH), Amberg
  2. B.i.TEAM Gesellschaft für Softwareberatung mbH, Berlin, Karlsruhe

Das Problem ist, dass bei diesem Verfahren nicht initialisierter Speicher freigegeben wird, weil der RAR-Handler dem Decoder eine falsche Konfiguration übermittelt. Da Decoder-Klassen sich im Quellcode falsch initialisieren, bevor sie zum ersten Mal genutzt werden, nehmen diese eben eine inkorrekte Konfiguration an. Dort sieht der Entdecker auch die Lösung des Bugs - etwa, indem eine Abfrage im Konstruktor der Klasse untergebracht wird.

Demo-Video zeigt den Bug in Aktion

Mithilfe des uninitialisierten Speichers konnte der Entwickler Code schreiben, der automatisch den in Windows 10 integrierten Taschenrechner ausführt. Er hat das Ergebnis in einem Demo-Video festgehalten. Der Exploit funktioniert mit der aktuellen 64-Bit-Windows-10-Version Redstone 4 mit der Build-Nummer 17134.1. Die genutzte 7-Zip-Version ist 18.01 vom 28. Januar 2018. Sobald Nutzer das manipulierte Archiv über das Kontextmenü mit dem Menüpunkt "Hier extrahieren" oder "zu Unterordner extrahieren" entpacken, öffnet sich der Taschenrechner. Natürlich ist das an sich nicht gefährlich, jedoch könnte sich statt dem Taschenrechner auch Malware unbemerkt installieren, beispielsweise über ein Batch-Script.

Allerdings ist das mittlerweile kein großes Problem mehr: 7-Zip-Entwickler Igor Pavlov hat den Fehler zusammen mit einigen anderen Angriffsvektoren mit der Version 18.05 behoben, die es seit dem 30. April gibt. Nutzer sollten sich diese Version daher schnell herunterladen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 17,99€
  2. 6,99€
  3. 11,49€
  4. 24,29€

nille02 06. Mai 2018

Kleiner Zusatz. Auch braucht man keine administrativen Rechte für die Installation, was...

Mixermachine 05. Mai 2018

Die erste Seite die ich per Google.de angezeigt bekomme ist wohl die de Version der...

GaliMali 04. Mai 2018

das stellt sich die Frage: braucht 7z einen Update Hinweis Ohne Golem hatte ich von den...


Folgen Sie uns
       


MX Anywhere 3 im Test: Logitechs flache Maus bietet viel Komfort
MX Anywhere 3 im Test
Logitechs flache Maus bietet viel Komfort

Die MX Anywhere 3 gefällt uns etwas besser als Logitechs älteres Mausmodell, das gilt aber nicht für jeden Einsatzzweck.
Ein Test von Ingo Pakalski

  1. MK295 Logitech macht preisgünstige Tastatur-Maus-Kombo leiser
  2. G915 TKL im Test Logitechs perfekte Tastatur braucht keinen Nummernblock
  3. Logitech Mechanische Tastatur verzichtet auf Kabel und Nummernblock

Geforce RTX 3080 im Test: Doppelte Leistung zum gleichen Preis
Geforce RTX 3080 im Test
Doppelte Leistung zum gleichen Preis

Nvidia hat mit der Geforce RTX 3080 die (Raytracing)-Grafikkarte abgeliefert, wie sie sich viele schon vor zwei Jahren erhofft hatten.
Ein Test von Marc Sauter

  1. Nvidia zur Geforce RTX 3080 "Unser bester und frustrierendster Launch"
  2. Geforce RTX 3080 Wir legen die Karten offen
  3. Ethereum-Mining Nvidias Ampere-Karten könnten Crypto-Boom auslösen

MX 10.0 im Test: Cherrys kompakte, flache, tolle RGB-Tastatur
MX 10.0 im Test
Cherrys kompakte, flache, tolle RGB-Tastatur

Die Cherry MX 10.0 kommt mit besonders flachen MX-Schaltern, ist hervorragend verarbeitet und umfangreich programmierbar. Warum Nutzer in Deutschland noch auf sie warten müssen, ist nach unserem Test unverständlich.
Ein Test von Tobias Költzsch

  1. Argand Partners Cherry wird verkauft

    •  /