Abo
  • Services:

Dateikompression: Bug in 7-Zip 18.01 ermöglicht Codeausführung beim Entpacken

Ein Bug macht sich uninitialisierten Speicher zunutze, um darüber beliebigen Code beim Entpacken von Dateiarchiven mit 7-Zip auszuführen. Ein Softwareentwickler hat die Lücke entdeckt und zu Demonstrationszwecken ausgenutzt. Statt dem Windows-Taschenrechner könnte darüber auch Schlimmeres ausgeführt werden.

Artikel veröffentlicht am ,
7-Zip-Archive könnten infiziert sein.
7-Zip-Archive könnten infiziert sein. (Bild: Pixabay.com/Montage: Golem.de)

Der Betreiber des Security-Blogs Iandave.io hat einen Bug im kostenfreien Archivtool 7-Zip gefunden, mit dem sich Code nach dem Entpacken automatisch ausführen lässt. Er beschreibt das Problem und einen möglichen Exploit detailliert auf seiner Seite. Der Fehler hat die Kennziffer CVE-2018-10115 erhalten. Er tritt in Verbindung mit Solid Compression auf, einem RAR-Kompressionsverfahren, das einen ganzen Datenblock aus einer Datensammlung erstellt, etwa einem Ordner mit Unterordnern.

Stellenmarkt
  1. Ultratronik GmbH, Gilching bei München
  2. DePauli AG, Garching bei München

Das Problem ist, dass bei diesem Verfahren nicht initialisierter Speicher freigegeben wird, weil der RAR-Handler dem Decoder eine falsche Konfiguration übermittelt. Da Decoder-Klassen sich im Quellcode falsch initialisieren, bevor sie zum ersten Mal genutzt werden, nehmen diese eben eine inkorrekte Konfiguration an. Dort sieht der Entdecker auch die Lösung des Bugs - etwa, indem eine Abfrage im Konstruktor der Klasse untergebracht wird.

Demo-Video zeigt den Bug in Aktion

Mithilfe des uninitialisierten Speichers konnte der Entwickler Code schreiben, der automatisch den in Windows 10 integrierten Taschenrechner ausführt. Er hat das Ergebnis in einem Demo-Video festgehalten. Der Exploit funktioniert mit der aktuellen 64-Bit-Windows-10-Version Redstone 4 mit der Build-Nummer 17134.1. Die genutzte 7-Zip-Version ist 18.01 vom 28. Januar 2018. Sobald Nutzer das manipulierte Archiv über das Kontextmenü mit dem Menüpunkt "Hier extrahieren" oder "zu Unterordner extrahieren" entpacken, öffnet sich der Taschenrechner. Natürlich ist das an sich nicht gefährlich, jedoch könnte sich statt dem Taschenrechner auch Malware unbemerkt installieren, beispielsweise über ein Batch-Script.

Allerdings ist das mittlerweile kein großes Problem mehr: 7-Zip-Entwickler Igor Pavlov hat den Fehler zusammen mit einigen anderen Angriffsvektoren mit der Version 18.05 behoben, die es seit dem 30. April gibt. Nutzer sollten sich diese Version daher schnell herunterladen.



Anzeige
Spiele-Angebote
  1. 46,99€
  2. 23,95€
  3. 59,99€ mit Vorbesteller-Preisgarantie (Release 14.11.)
  4. (-75%) 7,49€

nille02 06. Mai 2018

Kleiner Zusatz. Auch braucht man keine administrativen Rechte für die Installation, was...

Mixermachine 05. Mai 2018

Die erste Seite die ich per Google.de angezeigt bekomme ist wohl die de Version der...

GaliMali 04. Mai 2018

das stellt sich die Frage: braucht 7z einen Update Hinweis Ohne Golem hatte ich von den...


Folgen Sie uns
       


Red Dead Redemption 2 auf der Xbox One X - Golem.de live

Wir zeigen auf zahlreich geäußerten Wunsch Red Dead Redemption 2 im Livestream auf der Xbox One X. In der Aufzeichung kommen die Details des zum Teil in 4K hereingezoomten Bildausschnittes gut zur Geltung.

Red Dead Redemption 2 auf der Xbox One X - Golem.de live Video aufrufen
Mobile-Games-Auslese: Tinder auf dem Eisernen Thron - für unterwegs
Mobile-Games-Auslese
Tinder auf dem Eisernen Thron - für unterwegs

Fantasy-Fanservice mit dem gelungenen Reigns - Game of Thrones, Musikpuzzles in Eloh und Gehirnjogging in Euclidean Skies: Die neuen Mobile Games für iOS und Android bieten Spaß für jeden Geschmack.
Von Rainer Sigl

  1. Mobile Gaming Microsoft Research stellt Gamepads für das Smartphone vor
  2. Mobile-Games-Auslese Bezahlbare Drachen und dicke Bären
  3. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs

Job-Porträt Cyber-Detektiv: Ich musste als Ermittler über 1.000 Onanie-Videos schauen
Job-Porträt Cyber-Detektiv
"Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

Online-Detektive müssen permanent löschen, wo unvorsichtige Internetnutzer einen digitalen Flächenbrand gelegt haben. Mathias Kindt-Hopffer hat Golem.de von seinem Berufsalltag erzählt.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Serverless Computing: Mehr Zeit für den Code
Serverless Computing
Mehr Zeit für den Code

Weniger Verwaltungsaufwand und mehr Automatisierung: Viele Entwickler bauen auf fertige Komponenten aus der Cloud, um die eigenen Anwendungen aufzubauen. Beim Serverless Computing verschwinden die benötigten Server unter einer dicken Abstraktionsschicht, was mehr Zeit für den eigenen Code lässt.
Von Valentin Höbel

  1. Kubernetes Cloud Discovery inventarisiert vergessene Cloud-Native-Apps
  2. T-Systems Deutsche Telekom will Cloud-Firmen kaufen
  3. Trotz hoher Gewinne Wieder Stellenabbau bei Microsoft

    •  /