News Sicherheit: WinRAR kann gefährliche SFX-Archive erzeugen

[Daniel]

In der aktuellen Version 5.21 von WinRAR besteht eine Sicherheitslücke, durch die Angreifer SFX-Archive mit Schadcode erzeugen können. Dieser wird bei einem Doppelklick auf das selbstextrahierende Archiv direkt ausgeführt.

Zur News: Sicherheit: WinRAR kann gefährliche SFX-Archive erzeugen

 

[Cool Master]

Eine ausführbare Datei kann Schadcode beinhalten wer hätte es gedacht

Ich bleib dabei es gibt nur 3 bzw. 4 Formate welche man wirklich benötigt:

zip
rar
tar(.gz)

 

[firexs]

ahahahahaha und direkt unter dem Bericht ein Link zur 5.21 ... mademyday

 

[Jonnni]

ahahahahaha und direkt unter dem Bericht ein Link zur 5.21 ... mademyday

Wahrscheinlich ne automatische Verlinkung weil WinRar getagt wurde
Aber ja, musste auch schmunzeln^^
Diese sfx Archive sind mir eh unheimlich. Nutze nur zip, tar und rar

 

[firexs]

sfx ist ja nicht das Problem, nur im Zusammenspiel mit Winrar, wenn ich das richtig gelesen habe. Aber wozu, wenn 7zip bisher alle schlägt im Bereich Bedienung, Geschwindigkeit und Kosten.

 

[DOCa Cola]

Oh noes. Gefährliche exe Dateien!! Ich glaube da gibt es deutlich einfachere Methoden Schadcode zu verstecken. Mal abgesehen davon können SFX Archive in Winrar auch automatisch enthaltene Ausführbare Dateien nach dem entpacken starten...ohne, dass der Benutzer gefragt wird.

 

[mercsen]

Oh noes. Gefährliche exe Dateien!! Ich glaube da gibt es deutlich einfachere Methoden Schadcode zu verstecken. Mal abgesehen davon können SFX Archive in Winrar auch automatisch enthaltene Ausführbare Dateien nach dem entpacken starten...ohne, dass der Benutzer gefragt wird.

hui das wusste ich noch gar nicht. Aber verstehe eh nicht wieso jemand nen SFX Archiv benutzen sollte. Sowas findet man ohnehin nur in dubiosen quellen, was alleine schon Alarm schlagen sollte. Leider nimmt die mündigkeit im Internet stetig ab.....

 

[Jesterfox]

sfx ist ja nicht das Problem, nur im Zusammenspiel mit Winrar, wenn ich das richtig gelesen habe.

"SFX" ist aber kein für sich erkennbares Format. Das sind Ausführbare Programme mit .exe Extension. Die haben höchstens als Icon das von WinRAR, sich aber auf sowas zu verlassen ist eh höchst gefährlich.

Schlussendlich bleibt es bei der Kurzzusammenfassung der "News": "Exe kann gefährlich sein." Nicht wirklich was neues. Außer das man keinen Kompiler mehr braucht um sowas zu bauen sondern man es jetzt auch mit WinRAR basteln kann. Dem Normalanwender kann das aber egal sein wie der Trojaner gebaut wurde ;-)

 

[Hito]

Wenn man schon automatisch verlinkt, dann doch bitte auch mit Hinweis ob die 5.30 Beta die Lücke auch aufweist.

 

[M@rsupil@mi]

Eine ausführbare Datei kann Schadcode beinhalten wer hätte es gedacht

Breaking News

 

[estros]

Kein Wort verloren, welches Betriebssystem betroffen ist, und kein Wort, wie sich der Endnutzer schützen kann. Hmm?

 

[S.Kara]

Kein Wort verloren, welches Betriebssystem betroffen ist

Vermutlich alle auf denen diese Version läuft?

kein Wort, wie sich der Endnutzer schützen kann.

Keine selbstentpackende Archive aus unsicheren Quellen verwenden?

Hmm?

Hmm?

 

[Jesterfox]

Wenn man schon automatisch verlinkt, dann doch bitte auch mit Hinweis ob die 5.30 Beta die Lücke auch aufweist.

Die "Gefahr" geht ja auch von den damit erstellten SFXen aus und auch nur wenn man es darauf anlegt. Aber mit dem Hinweis dürfte man auch keinen C-Compiler mehr verlinken.

Im Heise-Forum gibt's ne Antwort-Mail von nem Entwickler, die sagt denk ich alles was man dazu wissen muss: http://www.heise.de/forum/heise-Sec...Der-Programmierer-sagt/posting-23755235/show/

 

[pmkrefeld]

Einfach auf ein BS Wechseln, dass keine Exes ausführt, fertig.

 

[lejared]

Ein Update? Wozu? Der Bug lässt sich nicht mehr fixen! Man kann die betroffene VErsion 5.21 bis zum Ende aller Zeiten dafür benutzen, entsprechende SFX Archive zu erzeugen. Daran wird auch einen korrigierte Version 5.30 nichts ändern. Der Zug ist abgefahren.

Andererseits sehe ich auch das Problem nicht. Das "Opfer" hat eine EXE Datei des Angreifers ausgeführt. Ob das nun ein kompromittiertes SFX-Archiv ist oder ob der Schadcode direkt in der Datei steckt ... wo ist da der Unterschied?

 

[Jesterfox]

...oder ob das SFX eine im Archiv enthaltene EXE automatisch nach dem Entpacken ausführt, was ein offizielles Feature von WinRAR ist.

 

[Forum-Fraggle]

"SFX" ist aber kein für sich erkennbares Format. Das sind Ausführbare Programme mit .exe Extension. )

Extension? Ist ne Dateierweiterung und keine Haarverlängerung

@Topic und der Kritik, daß SFX generell ja Schadcode enthalten können:
So wie ich es verstehe geht es nicht um Schadecode, bei dem z.B. Antivirenprogramme anschlagen könnten, sondern einfache html Anweisungen die die eigentliche Schadsoftware umgehen können. D.h. der gepackte Inhalt wird eigentlich korrekt sein. Dadurch fällt es nicht auf und weiter, wird der Code direkt ausgeführt. Ich denke, daß ist es, was es hier besonders macht.

 

[estros]

Vermutlich alle auf denen diese Version läuft?


Keine selbstentpackende Archive aus unsicheren Quellen verwenden?


Hmm?

Tolle Vermutungen. Etwas handfestes wäre besser!
Kritik am Artikel lasse ich jetzt mal unerwähnt.^^

 

[Marco01_809]

Eine ausführbare Datei kann Schadcode beinhalten wer hätte es gedacht

Ich bleib dabei es gibt nur 3 bzw. 4 Formate welche man wirklich benötigt:

zip
rar
tar(.gz)

Naja, rar ist aber weder das effizienteste noch das kompatibelste. Hab das Format persönlich schon abgeschrieben.

zip -> Stimm ich zu, für maximale Kompatibilität
tar.gz -> Für alles wo man keinen Einzelzugriff auf die Dateien braucht sondern i.d.R. als ganzes entpackt. Alternativ auch effizienter mit xz oder bz2 komprimiert
7z -> Maximale Kompressionseffizienz mit LZMA2

 

[Mextli]

Ich mag sfx Archive! Zu viele die ich kenne nutzen nur WinZip. Da mach ich lieber mit 7z ein sfx und schick denn was kleines, als mir Winzip anzutun.