Zero-Day-Lücke in WinRAR betrifft 500 Millionen Nutzer

Die Schwachstelle steckt im SFX-Modul der WinRAR-Version 5.21. Ein Angreifer könnte Schadcode einschleusen, der beim Entpacken einer SFX-Datei automatisch ausgeführt wird. Nach Herstellerangaben handelt es sich nicht um eine Sicherheitslücke.

Vulnerability Lab hat Details zu einer Zero-Day-Lücke in WinRAR veröffentlicht. Der Fehler, der das Einschleusen und Ausführen von Schadcode erlaubt, steckt in der aktuellen Version 5.21. Entdeckt hat die Anfälligkeit der iranische Sicherheitsforscher Reza Espargham. Er vermutet, dass auch frühere Versionen des Packprogramms fehlerhaft sind, was bis zu 500 Millionen Nutzer weltweit betreffen würde, wie Computerworld berichtet.

Security (Bild: Shutterstock)Der Fehler steckt allerdings nur in der Routine zum Erstellen von SFX-Archiven, also sich selbst extrahierenden Archiven. Dieser Archivtyp kann aber grundsätzlich so konfiguriert werden, dass beim Entpacken eine in dem Archiv enthaltene Datei ausgeführt wird. Rarlab, der Herausgeber von WinRAR, stuft den Fehler deswegen nicht als sicherheitsrelevant ein.

„Die Lücke kann von einem entfernten Angreifer ohne Interaktion mit einem Nutzer ausgenutzt werden“, zitiert Computerworld Espargham, der sie auch in einem Video demonstriert. Malwarebytes-Mitarbeiter Pieter Arntz habe Esparghams Beispielcode „leicht verändert“ und einen Exploit entwickelt. „Der Angriff nutzt die Möglichkeit, beim Erstellen eines SFX-Archivs HTML-Code in ein anzuzeigendes Fenster einzufügen“, erklärte Arntz. Dieser Code wiederum werde auf dem Rechner der Person ausgeführt, die das SFX-Archiv öffne, so Arntz weiter.

Rarlab hält dem entgegen, dass ein Hacker jederzeit „jede ausführbare Datei nehmen, in ein SFX-Archiv einfügen und an Nutzer verteilen kann. Das alleine macht Diskussionen über Anfälligkeiten in SFX-Archiven nutzlos. Ausführbare Dateien sind von Hause aus gefährlich. Man sollte sie nur ausführen, wenn sie aus vertrauenswürdigen Quellen stammen. Selbstextrahierende SFX-Archive sind nicht mehr oder weniger gefährlich als andere .exe-Dateien.“

Mit einem Patch für die Sicherheitslücke ist offenbar nicht zu rechnen. Rarlab zufolge würde dadurch die HTML-Funktionalität des SFX-Moduls eingeschränkt, was den Nutzern schade, die die HTML-Funktion für legitime Zwecke einsetzten. Zudem könne ein Hacker auch nach Bereitstellung eines Patches jederzeit eine alte Version des SFX-Moduls verwenden, um ein SFX-Archiv mit gefährlichem HTML-Code zu erstellen.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

Noch keine Kommentare zu Zero-Day-Lücke in WinRAR betrifft 500 Millionen Nutzer

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *