Vulnerability Lab hat Details zu einer Zero-Day-Lücke in WinRAR veröffentlicht. Der Fehler, der das Einschleusen und Ausführen von Schadcode erlaubt, steckt in der aktuellen Version 5.21. Entdeckt hat die Anfälligkeit der iranische Sicherheitsforscher Reza Espargham. Er vermutet, dass auch frühere Versionen des Packprogramms fehlerhaft sind, was bis zu 500 Millionen Nutzer weltweit betreffen würde, wie Computerworld berichtet.
Der Fehler steckt allerdings nur in der Routine zum Erstellen von SFX-Archiven, also sich selbst extrahierenden Archiven. Dieser Archivtyp kann aber grundsätzlich so konfiguriert werden, dass beim Entpacken eine in dem Archiv enthaltene Datei ausgeführt wird. Rarlab, der Herausgeber von WinRAR, stuft den Fehler deswegen nicht als sicherheitsrelevant ein.
„Die Lücke kann von einem entfernten Angreifer ohne Interaktion mit einem Nutzer ausgenutzt werden“, zitiert Computerworld Espargham, der sie auch in einem Video demonstriert. Malwarebytes-Mitarbeiter Pieter Arntz habe Esparghams Beispielcode „leicht verändert“ und einen Exploit entwickelt. „Der Angriff nutzt die Möglichkeit, beim Erstellen eines SFX-Archivs HTML-Code in ein anzuzeigendes Fenster einzufügen“, erklärte Arntz. Dieser Code wiederum werde auf dem Rechner der Person ausgeführt, die das SFX-Archiv öffne, so Arntz weiter.
Rarlab hält dem entgegen, dass ein Hacker jederzeit „jede ausführbare Datei nehmen, in ein SFX-Archiv einfügen und an Nutzer verteilen kann. Das alleine macht Diskussionen über Anfälligkeiten in SFX-Archiven nutzlos. Ausführbare Dateien sind von Hause aus gefährlich. Man sollte sie nur ausführen, wenn sie aus vertrauenswürdigen Quellen stammen. Selbstextrahierende SFX-Archive sind nicht mehr oder weniger gefährlich als andere .exe-Dateien.“
Mit einem Patch für die Sicherheitslücke ist offenbar nicht zu rechnen. Rarlab zufolge würde dadurch die HTML-Funktionalität des SFX-Moduls eingeschränkt, was den Nutzern schade, die die HTML-Funktion für legitime Zwecke einsetzten. Zudem könne ein Hacker auch nach Bereitstellung eines Patches jederzeit eine alte Version des SFX-Moduls verwenden, um ein SFX-Archiv mit gefährlichem HTML-Code zu erstellen.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…