Channel Header
2409857

Winrar: Rabiate Methode schließt 19 Jahre alte Lücke

21.02.2019 | 13:41 Uhr | Panagiotis Kolokythas

Winrar meldet die Entdeckung einer Sicherheitslücke in seinem Packprogramm. Und hat eine rabiate Lösung für das Problem.

Die Macher des Packers Winrar melden die Entdeckung einer Sicherheitslücke in ihrem Produkt. Demnach seien sie von Check Point Software Technologies auf eine Anfälligkeit in der von Winrar genutzten Bibliothek unacev2.dll aufmerksam gemacht geworden, wie es in den Update-Notizen von Winrar 5.70 Beta 1 heißt. Die Bibliothek wird dazu von Winrar verwendet, um ACE-Archive zu entpacken.

Durch die Lücke kann ein entsprechend von Angreifern präpariertes ACE-Archiv beim Entpacken durch Winrar auch außerhalb des vorgesehenen Entpack-Ordners Dateien ablegen. Die Lücke existiert seit mindestens 14 Jahren, wie auch Winrar einräumen muss. Seitdem sei jedenfalls unacev2.dll nicht mehr aktualisiert worden. Winrar selbst ist auch nicht in der Lage, die Sicherheitslücke zu schließen, weil man seit diesen 14 Jahren auch keinen Zugriff mehr auf den Quellcode hat.

Daher hat sich Winrar für eine eher rabiate Lösung des Problems entschieden: Ab Winrar 5.70 Beta 1 fliegt unacev2.dll einfach ganz raus und damit wird auch nicht mehr das Entpacken des ACE-Archivformats durch Winrar unterstützt. Mittlerweile ist auch Winrar 5.70 Beta 2 verfügbar und die Nutzer werden aufgefordert, das Pack-Programm zu aktualisieren.

Die Sicherheitsexperten von Check Point Software Technologie gehen in ihrem Bericht zur Lücke in Winrar davon aus, dass die Anfälligkeit sogar seit 19 Jahren besteht. Im Extremfall hätte in der Zeit ein Angreifer die Kontrolle über ein System übernehmen können. Und dies, indem einfach eine Archiv-Datei auf dem System entpackt worden wäre. Aufgrund der enormen Beliebtheit von Winrar seien bis zu 500 Millionen Nutzer gefährdet gewesen.

Auf den Fehler sei man gestoßen, nachdem man die "fuzzer"-Technik beim Aufspüren von Sicherheitslücken eingesetzt hat. Eine Technik, bei der mit diversen Tools automatisiert nach Schwachstellen in einer Software gesucht wird. Erst im Dezember 2018 hatte Check Point Software Technologie gemeldet, auf diese Art und Weise über 50 neue Lücken im Adobe Reader entdeckt zu haben.

Bei Winrar sei es beim Testen mit solchen Tools zu Abstürzen gekommen, die durch eine vor Ewigkeiten kompilierte und seitdem nicht mehr veränderte dll-Datei verursacht wurden. Durch eine genauere Analyse konnte man dann schließlich die Lücke in unacev2.dll aufdecken und erfolgreich für einen Angriff ausnutzen, wie auch im folgenden Proof-of-Concept-Video zu sehen ist:

Und was ist mit anderen Betriebssystemen selbst? Die Sicherheitsexperten fanden heraus, dass Winace seinerzeit für Linux eine ähnliche Bibliothek wie unacev2.dll erstellte, in der auch der Windows-Quellcode enthalten ist, der sich allerdings nicht kompilieren lässt. Dieser Quellcode der Linux-Variante ist auch noch verfügbar und wurde irgendwann aktualisiert, so dass die Schwachstelle unter Linux nicht vorhanden ist.

Die Weiterentwicklung von Winace selbst wurde übrigens im Jahr 2007 eingestellt. Seitdem folgte jedenfalls keine neuere Version mehr.

Auch interessant: Microsoft beseitigt fünf 0-Day-Lücken

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2409857