Abo
  • IT-Karriere:

Schadcode: 19 Jahre alte Sicherheitslücke in Winrar

Vorsicht beim Entpacken von ACE-Archiven: Sie können Dateien an beliebige Orte des Systems schreiben - und damit auch Code ausführen. Ein stabiles Update von Winrar wurde noch nicht veröffentlicht.

Artikel veröffentlicht am ,
Vorsicht ist beim Entpacken von ACE-Dateien geboten.
Vorsicht ist beim Entpacken von ACE-Dateien geboten. (Bild: bluebudgie/Pixabay)

Bereits seit 19 Jahren soll eine Sicherheitslücke in dem Packprogramm Winrar stecken. Die Lücke ermöglicht es, beim Entpacken eines Archivs Dateien an beliebigen Orten zu speichern - und damit auch Code auszuführen. Entdeckt wurde die Lücke von der Sicherheitsfirma Checkpoint. Winrar wird nach Angaben des Herstellers weltweit von mehr als 500 Millionen Nutzern verwendet.

Stellenmarkt
  1. Bayerische Versorgungskammer, München
  2. Landeshauptstadt München, München

Die Sicherheitsforscher hatten die Software mit einem Fuzzing-Tool bearbeitet, mit welchem eine Software mit zufälligen Daten gefüttert wird. Dabei entdeckten sie mehrere Sicherheitslücken, darunter eine Path-Traversal-Attacke. Mit dieser kann der Zielordner der zu entzippenden Datei geändert werden. Entpackt ein Opfer ein präpariertes ACE-Archiv, kann ein Angreifer beliebige Dateien an beliebige Orte entpacken, auf die der Nutzer Schreibzugriff hat. Beispielsweise können Dateien in den Windows-Autostart geschrieben werden und so beim nächsten Nutzerlogin Software ausgeführt werden. So lässt sich beispielsweise ein Trojaner oder eine Ransomware auf einem System platzieren.

Winrar verabschiedet sich von ACE

Die Winrar-Entwickler hatten ACE über die proprietäre Bibliothek unacev2.dll eingebunden, die nach Angaben der Entwickler seit 2005 kein Update mehr erhalten hat. Auf den Quellcode der Bibliothek haben sie keinen Zugriff, sie können die Lücke entsprechend nicht fixen. In Version 5.70 beta 1 haben sie die Bibliothek und damit den Support für ACE-Archive kurzerhand entfernt. Die aktuelle stabile Version ist von der Sicherheitslücke wohl weiterhin betroffen. Das Gleiche dürfte für andere Programme gelten, die auf die Bibliothek setzen.



Anzeige
Top-Angebote
  1. (u. a. Logitech G502 Hero für 44€ und G903 für 79€ und diverse TV-, Audio-, Computer- und...
  2. (heute u. a. Samsung-TVs der RU8009-Reihe und Gaming-Stühle)
  3. 41,80€ inkl. Rabattgutschein (Bestpreis!)
  4. 79€

heikom36 22. Feb 2019

Erinnerungen werden wach. Stimmt. So Ende der 90'er war so gut wie alles arj gepackt...

heikom36 22. Feb 2019

In wiefern sollte das helfen? WINRAR erkennt an der Datei selbst, dass es dann ace ist...

heikom36 22. Feb 2019

So Ende der 90'er war ace noch sehr weit verbreitet. Als ich noch ace nutzte, entpackte...

heikom36 22. Feb 2019

Das heise-Forum ist mittlerweile zwar super duper mies geworden weil es extrem schlecht...

Phantom 22. Feb 2019

Erstveröffentlichungsdatum: 18. Juli 1999


Folgen Sie uns
       


Nokia 6.2 und 7.2 - Hands on

Das Nokia 6.2 und das Nokia 7.2 sind zwei Android-Smartphones im Mittelklassesegment. Beide sind Teil des Android-One-Programms und dürften entsprechend schnelle Updates erhalten.

Nokia 6.2 und 7.2 - Hands on Video aufrufen
Acer Predator Thronos im Sit on: Der Nerd-Olymp
Acer Predator Thronos im Sit on
Der Nerd-Olymp

Ifa 2019 Ob wir es nun den eisernen Thron oder den Sitz der Götter nennen: Der Predator Thronos von Acer fällt auf dem Messestand des Herstellers schon auf. Golem.de konnte den skurrilen Stuhl ausprobieren. Er ist eines Gaming-Kellers würdig.
Ein Hands on von Oliver Nickel

  1. Nitro XV273X Acer baut ersten Monitor mit IPS-Panel und 240 Hz
  2. Acer Beim Predator-Notebook fährt die Tastatur wie eine Rampe aus
  3. Geräte für Mediengestalter Acer gibt Verfügbarkeit der Concept-D-Laptops bekannt

Langstreckentest im Audi E-Tron: 1.000 Meilen - wenig Säulen
Langstreckentest im Audi E-Tron
1.000 Meilen - wenig Säulen

Wie schlägt sich der Audi E-Tron auf einer 1.000-Meilen-Strecke durch zehn europäische Länder? Halten Elektroauto und Ladeinfrastruktur bereits, was die Hersteller versprechen?
Ein Erfahrungsbericht von Friedhelm Greis

  1. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  2. Batterieprobleme Auslieferung des e.Go verzögert sich
  3. ID Charger VW bringt günstige Wallbox auf den Markt

E-Auto: Byton zeigt die Produktionsversion des M-Byte
E-Auto
Byton zeigt die Produktionsversion des M-Byte

IAA 2019 Die Premiere von Byton in Frankfurt ist überraschend. Da der M-Byte im kommenden Jahr in China startet, ist die Vorstellung des produktionsreifen Elektroautos in Deutschland etwas Besonderes.
Ein Bericht von Dirk Kunde


      •  /