Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Update bereits ausgespielt: Kritische Lücke in WinRAR erlaubte Code-Ausführung

Update bereits ausgespielt: Kritische Lücke in WinRAR erlaubte Code-Ausführung​

Du musst dich Anmelden oder Registrieren um diesen link zusehen!
19.08.2023 14:14 Uhr Tilman Wittenhorst
shutterstock_232738432-9dfc93e94c2c407f.jpeg

(Bild: rvlsoft/Shutterstock.com)

Das verbreitete Kompressionstool WinRAR besaß in älteren Versionen eine schwere Lücke, die beliebige Codeausführung erlaubte. Die aktuelle Version schließt sie.

Das bekannte Kompressions- und Archivierungs-Werkzeug WinRAR war von einer kritischen Sicherheitslücke betroffen, mit der Angreifer beliebigen Code ausführen konnten, sobald ein entsprechend präpariertes Archiv geöffnet wurde. Die Lücke wird unter der Bezeichnung CVE-2023-40477 geführt und erhält einen CVSS-Score von 7,8 sowie den Schweregrad "hoch".

Version 6.23 behebt Schwachstelle​

Gestopft wurde die Lücke in der derzeit aktuellen Version 6.23 von WinRAR, die bereits am 2. August erschienen ist. Der Hersteller RARLAB machte damals in den Release Notes keinen Hinweis auf die Schwere des Problems, sprach lediglich von einem behobenen Sicherheitsproblem. Entdeckt hat
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
– und machte sie an diesem Donnerstag öffentlich. Offenbar wollten die Initiative und der Softwarehersteller zunächst eine möglichst weite Verbreitung des Updates abwarten.

Die Lücke besteht in mangelnder Prüfung von Nutzerdaten in Recovery Volumes, was dazu genutzt werden kann, außerhalb eines allozierten Speicherbereichs schreiben zu können. Dies kann Angreifern beliebiges Ausführen von Code auf dem Zielsystem erlauben. Ein betroffener Nutzer muss lediglich dazu gebracht werden, ein präpariertes Archiv zu öffnen.

Wer WinRAR noch nicht in Version 6.23 nutzt, sollte sofort das Update einspielen – mit dem Ausnutzen der Lücke ist spätestens ab der Veröffentlichung von Informationen darüber zu rechnen.
(tiw [2])

URL dieses Artikels:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
 
Zum Vergrößern anklicken....

WinRAR-Lücke weitreichender als gedacht UPDATE

Du musst dich Anmelden oder Registrieren um diesen link zusehen!
Stand: 24.08.2023 11:57 Uhr Dirk Knop
shutterstock_1843250155-762002bdcc71f394.jpeg

(Bild: Skorzewiak/Shutterstock.com)
Am Wochenende wurde eine Sicherheitslücke in WinRAR bekannt. Die wirkt sich auf andere Software aus. Zudem gibt es weitere, bereits missbrauchte Lecks darin.

Die Auswirkungen einer kritischen Sicherheitslücke in der populären Archivsoftware WinRAR reichen weiter als zunächst gedacht. Auch andere Programme als WinRAR sind davon mutmaßlich betroffen. IT-Sicherheitsforscher haben zudem eine weitere Sicherheitslücke in der Software aufgespürt, die bereits seit April dieses Jahres von Cyberkriminellen missbraucht wurde.
Am vergangenen Wochenende wurde bekannt, dass eine
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
missbraucht werden konnte (CVE-2023-40477, CVSS 7.8, Risiko "hoch"). Das Problem basierte auf einer mangelhaften Prüfung von Daten in sogenannten Recovery Volumes für RAR-Archive, durch die außerhalb der vorgesehenen Speicherbereiche Schreibzugriffe möglich waren. Bereits das Öffnen sorgsam präparierter Archive reicht aus, um so Schadcode auf verwundbare Rechner zu schleusen.

WinRAR: Lücke wahrscheinlich auch in anderen Programmen​

Das Update auf WinRAR 6.23, das die Sicherheitslücke schließt, wurde ab dem 2. August verteilt. Allerdings blieb bislang weitgehend unbeachtet, dass die Bibliotheken unrar.dll und unrar64.dll von Rarlabs vermutlich ebenfalls verwundbar waren und anderer Software beiliegen. Ein Update für den populären
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
etwa korrigiert den Fehler explizit: "Kritische Sicherheitslücke in unrar.dll (von RARLAB) behoben, auch als separater Download verfügbar" schreiben die Entwickler dort im Changelog. Im
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
jedoch, dass niemand genau wisse, ob unrar.dll anfällig sei.

Andreas Marx von AV-Test hat heise Security kontaktiert und schrieb uns, dass er "über 400 Programme, die 'unrar.dll' bzw. 'unrar64.dll' verwenden (mit einer letzten Aktualisierung vor dem 01. August 2023) in unserer Clean File Datenbank gefunden" hat. Antivirensoftware setzt häufig ebenfalls öffentlich verfügbare Bibliotheken ein und könnte anfällig sein – immerhin dürften die Hersteller gegebenenfalls die automatischen Update-Mechanismen zum Verteilen fehlerbereinigter Fassungen nutzen. Das Windows-interne ZIP-Tool soll in Kürze ebenfalls
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Allerdings basiert der öffentlich verfügbare Rarlab-unrar-Code auf C++, während libarchive eine vermutlich eigene C-Implementierung verwendet. Bis zur Veröffentlichung hätte Microsoft im Zweifel noch Zeit, die potenzielle Schwachstelle anzugehen.

Zero-Day-Lücke in WinRAR​

Die IT-Sicherheitsforscher von
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
derweil über eine Malware "DarkMe", die sie am 10. Juli dieses Jahres untersucht haben. Diese habe eine Sicherheitslücke in der Verarbeitung von ZIP-Formaten in WinRAR missbraucht, um Schadcode auf Rechnern von Opfern zu schleusen und auszuführen. Die Lücke ermöglicht das Verschleiern von Dateiendungen, sodass in den präparierten Archiven vermeintliche Bilder als .jpg oder Dokumente als .txt aufgelistet wurden (CVE-2023-38831, noch keine CVSS-Einstufung). Dahinter befand sich jedoch Malware, die von Opfern unwissentlich per Doppelklick gestartet wurde.

Manipulierte ZIP-Dateien seien von Cyberkriminellen in Handelsforen verteilt worden, die die Schädlinge DarkMe, GuLoader oder Remcos RAT enthielten und das Abziehen von Geld der Broker erlaubten, die den Schadcode ausgeführt haben. Es seien derzeit noch 130 Geräte von Händlern infiziert. Die Angriffe fanden seit dem April 2023 statt. WinRAR 6.23 schließt auch diese Schwachstelle.

Sofern das noch nicht geschehen ist, sollten WinRAR-Nutzer auf
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
aktualisieren. Zudem dürften weitere Programme in Kürze Aktualisierungen anbieten, die verwundbare unrar-Bibliotheken mitbringen und verwenden.
UPDATE24.08.2023 15:34 Uhr
Im Text ergänzt, dass es bislang eine Vermutung ist, dass unrar.dll ebenfalls betroffen ist.
(dmk [7])

URL dieses Artikels:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
 

Ähnliche Themen

josef.13
  • Artikel
Hardware & Software Update-Alarm für WinRAR: Google warnt vor schwerer Sicherheitslücke
Antworten
1
Aufrufe
2K
josef.13
josef.13
edgonzo
  • Artikel
Handy - Navigation Sicherheitsalarm: Android-Nutzer sollten jetzt schnell updaten
Antworten
1
Aufrufe
1K
Lecter
Lecter
josef.13
  • Artikel
Hardware & Software Kritische Lücke in VPN von Securepoint
Antworten
0
Aufrufe
499
josef.13
josef.13
u040201
  • Artikel
Hardware & Software Alert! Citrix: Updates schließen kritische Zero-Day-Lücke in Netscaler ADC und Gateway
Antworten
0
Aufrufe
877
u040201
u040201
O
  • Artikel
Hardware & Software Jetzt patchen! Angreifer schieben Schadcode durch Lücke in Adobe ColdFusion
Antworten
0
Aufrufe
728
opapa
O
Zurück
Oben