Schadcode: 19 Jahre alte Sicherheitslücke in Winrar

Vorsicht beim Entpacken von ACE-Archiven: Sie können Dateien an beliebige Orte des Systems schreiben - und damit auch Code ausführen. Ein stabiles Update von Winrar wurde noch nicht veröffentlicht.

Artikel veröffentlicht am ,
Vorsicht ist beim Entpacken von ACE-Dateien geboten.
Vorsicht ist beim Entpacken von ACE-Dateien geboten. (Bild: bluebudgie/Pixabay)

Bereits seit 19 Jahren soll eine Sicherheitslücke in dem Packprogramm Winrar stecken. Die Lücke ermöglicht es, beim Entpacken eines Archivs Dateien an beliebigen Orten zu speichern - und damit auch Code auszuführen. Entdeckt wurde die Lücke von der Sicherheitsfirma Checkpoint. Winrar wird nach Angaben des Herstellers weltweit von mehr als 500 Millionen Nutzern verwendet.

Stellenmarkt
  1. Verwaltungsfachangestellter (m/w/d) im Bereich newsystem - Doppik-Support Schwerpunkt Haushalt
    ekom21 - KGRZ Hessen, Darmstadt, Gießen, Kassel
  2. Mitarbeiter für die Funktionsstelle IT-Prozesse (m/w/d)
    Medizinischer Dienst Niedersachsen, Hannover
Detailsuche

Die Sicherheitsforscher hatten die Software mit einem Fuzzing-Tool bearbeitet, mit welchem eine Software mit zufälligen Daten gefüttert wird. Dabei entdeckten sie mehrere Sicherheitslücken, darunter eine Path-Traversal-Attacke. Mit dieser kann der Zielordner der zu entzippenden Datei geändert werden. Entpackt ein Opfer ein präpariertes ACE-Archiv, kann ein Angreifer beliebige Dateien an beliebige Orte entpacken, auf die der Nutzer Schreibzugriff hat. Beispielsweise können Dateien in den Windows-Autostart geschrieben werden und so beim nächsten Nutzerlogin Software ausgeführt werden. So lässt sich beispielsweise ein Trojaner oder eine Ransomware auf einem System platzieren.

Winrar verabschiedet sich von ACE

Die Winrar-Entwickler hatten ACE über die proprietäre Bibliothek unacev2.dll eingebunden, die nach Angaben der Entwickler seit 2005 kein Update mehr erhalten hat. Auf den Quellcode der Bibliothek haben sie keinen Zugriff, sie können die Lücke entsprechend nicht fixen. In Version 5.70 beta 1 haben sie die Bibliothek und damit den Support für ACE-Archive kurzerhand entfernt. Die aktuelle stabile Version ist von der Sicherheitslücke wohl weiterhin betroffen. Das Gleiche dürfte für andere Programme gelten, die auf die Bibliothek setzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


heikom36 22. Feb 2019

Erinnerungen werden wach. Stimmt. So Ende der 90'er war so gut wie alles arj gepackt...

heikom36 22. Feb 2019

In wiefern sollte das helfen? WINRAR erkennt an der Datei selbst, dass es dann ace ist...

heikom36 22. Feb 2019

So Ende der 90'er war ace noch sehr weit verbreitet. Als ich noch ace nutzte, entpackte...

heikom36 22. Feb 2019

Das heise-Forum ist mittlerweile zwar super duper mies geworden weil es extrem schlecht...

Phantom 22. Feb 2019

Erstveröffentlichungsdatum: 18. Juli 1999



Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. FTTH: Liberty Network startet noch mal in Deutschland
    FTTH
    Liberty Network startet noch mal in Deutschland

    Das erste FTTH-Projekt ist gescheitert. Jetzt wandert Liberty von Brandenburg nach Bayern an den Starnberger See.

  2. Hauptuntersuchung: Tesla Model S beim TÜV nur knapp vor Verbrennern von Dacia
    Hauptuntersuchung
    Tesla Model S beim TÜV nur knapp vor Verbrennern von Dacia

    Bei den TÜV-Prüfungen schneidet das Model S nicht viel besser ab als sehr günstige Verbrenner. Andere E-Autos sind da besser.

  3. Raumfahrt: China schleppt defekten Satelliten ab
    Raumfahrt
    China schleppt defekten Satelliten ab

    Ein nicht funktionsfähiger Satellit wurde mit Hilfe eines weiteren Satelliten dorthin verbracht, wo er keine Gefahr darstellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB 1.499€ • iPhone 13 Pro 512GB 1.349€ • DXRacer Gaming-Stuhl 159€ • LG OLED 55 Zoll 1.149€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen • One Plus Nord 2 335€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Sennheiser Gaming-Headset 169,90€ [Werbung]
    •  /