Dateikompression: Bug in 7-Zip 18.01 ermöglicht Codeausführung beim Entpacken

Ein Bug macht sich uninitialisierten Speicher zunutze, um darüber beliebigen Code beim Entpacken von Dateiarchiven mit 7-Zip auszuführen. Ein Softwareentwickler hat die Lücke entdeckt und zu Demonstrationszwecken ausgenutzt. Statt dem Windows-Taschenrechner könnte darüber auch Schlimmeres ausgeführt werden.

Artikel veröffentlicht am ,
7-Zip-Archive könnten infiziert sein.
7-Zip-Archive könnten infiziert sein. (Bild: Pixabay.com/Montage: Golem.de)

Der Betreiber des Security-Blogs Iandave.io hat einen Bug im kostenfreien Archivtool 7-Zip gefunden, mit dem sich Code nach dem Entpacken automatisch ausführen lässt. Er beschreibt das Problem und einen möglichen Exploit detailliert auf seiner Seite. Der Fehler hat die Kennziffer CVE-2018-10115 erhalten. Er tritt in Verbindung mit Solid Compression auf, einem RAR-Kompressionsverfahren, das einen ganzen Datenblock aus einer Datensammlung erstellt, etwa einem Ordner mit Unterordnern.

Stellenmarkt
  1. Full Stack Java Software Developer (m/w/d)
    NOVENTI Health SE, Lübeck (Home-Office möglich)
  2. Juristischer Berater (m/w/d) IT
    VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
Detailsuche

Das Problem ist, dass bei diesem Verfahren nicht initialisierter Speicher freigegeben wird, weil der RAR-Handler dem Decoder eine falsche Konfiguration übermittelt. Da Decoder-Klassen sich im Quellcode falsch initialisieren, bevor sie zum ersten Mal genutzt werden, nehmen diese eben eine inkorrekte Konfiguration an. Dort sieht der Entdecker auch die Lösung des Bugs - etwa, indem eine Abfrage im Konstruktor der Klasse untergebracht wird.

Demo-Video zeigt den Bug in Aktion

Mithilfe des uninitialisierten Speichers konnte der Entwickler Code schreiben, der automatisch den in Windows 10 integrierten Taschenrechner ausführt. Er hat das Ergebnis in einem Demo-Video festgehalten. Der Exploit funktioniert mit der aktuellen 64-Bit-Windows-10-Version Redstone 4 mit der Build-Nummer 17134.1. Die genutzte 7-Zip-Version ist 18.01 vom 28. Januar 2018. Sobald Nutzer das manipulierte Archiv über das Kontextmenü mit dem Menüpunkt "Hier extrahieren" oder "zu Unterordner extrahieren" entpacken, öffnet sich der Taschenrechner. Natürlich ist das an sich nicht gefährlich, jedoch könnte sich statt dem Taschenrechner auch Malware unbemerkt installieren, beispielsweise über ein Batch-Script.

Allerdings ist das mittlerweile kein großes Problem mehr: 7-Zip-Entwickler Igor Pavlov hat den Fehler zusammen mit einigen anderen Angriffsvektoren mit der Version 18.05 behoben, die es seit dem 30. April gibt. Nutzer sollten sich diese Version daher schnell herunterladen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Wemax Go Pro
Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand

Der Wemax Go Pro setzt auf Lasertechnik von Xiaomi. Der Beamer ist klein und kompakt, soll aber ein großes Bild an die Wand strahlen können.

Wemax Go Pro: Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand
Artikel
  1. Air4: Renault 4 als Flugauto neu interpretiert
    Air4
    Renault 4 als Flugauto neu interpretiert

    Der Air4 ist Renaults Idee, wie ein fliegender Renault 4 aussehen könnte. Mit der Drohne wird das 60jährige Jubiläum des Kultautos gefeiert.

  2. Snapdragon 8cx Gen 3: Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel
    Snapdragon 8cx Gen 3
    Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel

    In Geekbench wurde der Qualcomm Snapdragon 8cx Gen 3 gesichtet. Er kann sich mit Intel- und AMD-CPUs messen, mit Apples M1 aber wohl nicht.

  3. Mica statt Aero: Windows 11 bringt Transparenzeffekte zurück
    Mica statt Aero
    Windows 11 bringt Transparenzeffekte zurück

    Weitere Applikationen werden mit einem bekannten Designelement ausgestattet: Windows 11 implementiert Transparenzeffekte mit Mica.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /