Vulnerability Lab hat Details zu einer Zero-Day-Lücke in WinRAR veröffentlicht. Der Fehler, der das Einschleusen und Ausführen von Schadcode erlaubt, steckt in der aktuellen Version 5.21. Entdeckt hat die Anfälligkeit der iranische Sicherheitsforscher Reza Espargham. Er vermutet, dass auch frühere Versionen des Packprogramms fehlerhaft sind, was bis zu 500 Millionen Nutzer weltweit betreffen würde, wie Computerworld berichtet.
Der Fehler steckt allerdings nur in der Routine zum Erstellen von SFX-Archiven, also sich selbst extrahierenden Archiven. Dieser Archivtyp kann aber grundsätzlich so konfiguriert werden, dass beim Entpacken eine in dem Archiv enthaltene Datei ausgeführt wird. Rarlab, der Herausgeber von WinRAR, stuft den Fehler deswegen nicht als sicherheitsrelevant ein.
„Die Lücke kann von einem entfernten Angreifer ohne Interaktion mit einem Nutzer ausgenutzt werden“, zitiert Computerworld Espargham, der sie auch in einem Video demonstriert. Malwarebytes-Mitarbeiter Pieter Arntz habe Esparghams Beispielcode „leicht verändert“ und einen Exploit entwickelt. „Der Angriff nutzt die Möglichkeit, beim Erstellen eines SFX-Archivs HTML-Code in ein anzuzeigendes Fenster einzufügen“, erklärte Arntz. Dieser Code wiederum werde auf dem Rechner der Person ausgeführt, die das SFX-Archiv öffne, so Arntz weiter.
Rarlab hält dem entgegen, dass ein Hacker jederzeit „jede ausführbare Datei nehmen, in ein SFX-Archiv einfügen und an Nutzer verteilen kann. Das alleine macht Diskussionen über Anfälligkeiten in SFX-Archiven nutzlos. Ausführbare Dateien sind von Hause aus gefährlich. Man sollte sie nur ausführen, wenn sie aus vertrauenswürdigen Quellen stammen. Selbstextrahierende SFX-Archive sind nicht mehr oder weniger gefährlich als andere .exe-Dateien.“
Mit einem Patch für die Sicherheitslücke ist offenbar nicht zu rechnen. Rarlab zufolge würde dadurch die HTML-Funktionalität des SFX-Moduls eingeschränkt, was den Nutzern schade, die die HTML-Funktion für legitime Zwecke einsetzten. Zudem könne ein Hacker auch nach Bereitstellung eines Patches jederzeit eine alte Version des SFX-Moduls verwenden, um ein SFX-Archiv mit gefährlichem HTML-Code zu erstellen.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Manager war bis August 2024 Mitglied des Board of Directors von Intel. Der derzeitige…
Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode aus der Ferne. Betroffen sind…
Betroffen sind alle unterstützten Windows-Versionen. Der März-Patchday beseitigt sieben Zero-Day-Lücken und sechs als kritisch eingestufte…
Der neue Patch ergänzt eine Fehlerkorrektur aus Januar. Er soll einen Sandbox-Escape in Safari unter…
Die Gruppe greift neuerdings auch Ziele in Europa an. Ziel der Angriffe sind Betriebsdaten, Forschungsprojekte…
Mindestens zwei Anfälligkeiten lassen sich aus der Ferne ausnutzen. Betroffen sind Chrome für Windows, macOS…
