Sicherheitslücke in WinRAR (Windows) jetzt schließen

Mornsgrans

Mornsgrans

Help-Desk
Teammitglied
Themenstarter
Registriert
20 Apr. 2007
Beiträge
77.738
Heute bei Heise:
www.heise.de

WinRAR: Windows-Version kann beliebigen untergeschobenen Code ausführen

Die WinRAR-Entwickler schließen eine Sicherheitslücke in der Windows-Fassung, die Angreifern das Ausführen von Schadcode ermöglicht.
www.heise.de www.heise.de

Die Entdecker des Sicherheitslecks bei Trend Micros Zero-Day-Initiative werden hingegen etwas präziser: "Der spezielle Fehler besteht im Umgang mit Pfaden innerhalb von Archiv-Dateien. Ein präparierter Dateipfad kann dazu führen, dass der Prozess in nicht vorgesehene Verzeichnisse wandert (traverse). Angreifer können das missbrauchen, um Schadcode im Kontext des aktuellen Users auszuführen" (CVE-2025-6218 / noch kein EUVD, CVSS 7.8, Risiko "hoch").
Zum Vergrößern anklicken....
 
Ich nutze auch immer noch und bedanke mich ebenfalls für den Hinweis. (y)
 
elchmartin schrieb:
Nutzt 'man' WinRAR eigentlich noch?
Ich bin irgendwie seit 10 Jahren (oder so?) auf 7-Zip umgestiegen...
Zum Vergrößern anklicken....
Von 7-Zip gibt es seit > 1/2 Jahr kein Update mehr. Der Entwickler ist ein Russe und es gab auch schonmal ein ordentliches Sicherheitsleck. Das Leck war der Grund, warum ich wieder zu WinRAR zurückgegangen bin.
 
StefanW. schrieb:
Von 7-Zip gibt es seit > 1/2 Jahr kein Update mehr. Der Entwickler ist ein Russe und es gab auch schonmal ein ordentliches Sicherheitsleck. Das Leck war der Grund, warum ich wieder zu WinRAR zurückgegangen bin.
Zum Vergrößern anklicken....
ah OK .... sollte man also auch überdenken.
Meine (zu langsame) Migration auf Linux sorgt vielleciht dafür, dass eher richtung TAR gehe :-)
 
StefanW. schrieb:
Ist bei mir aber nur Halbwissen. Vielleicht gibt es auch 100 gute Gründe, 7-Zip statt WinRAR zu nutzen.
Zum Vergrößern anklicken....
ich fand "damals" die Kombi aus top-Packraten und einer schlanken Windows-GUI gut, das ganze nochdazu nicht als shareware oder bezahlware ... ich meine sogar damals war das opensource? Aber auch hier ist mein Wissen auch eher gesundes Schätzen...
 
elchmartin schrieb:
Nutzt 'man' WinRAR eigentlich noch?
Ich bin irgendwie seit 10 Jahren (oder so?) auf 7-Zip umgestiegen...
Zum Vergrößern anklicken....

WinRAR hat den Vorteil (vielleicht Nischending) das man Dateien im Archiv doppelklicken kann, und alle benötigten Dateien mitextrahiert werden in ein temporäres Verzeichnis. Bei 7zip wird zB nur die .exe entpackt und dann gestartet. Schlägt dann meistens fehl, weil DLLs und anderes Zeug nicht mitentpackt wird.
 
moin,
betrifft das "nur" die 7.11 version?

(habe, glaube ich eine noch ältere neben 7 zip als entpacker)
 
dub-setter schrieb:
betrifft das "nur" die WinRAR 7.11 version?

(habe, glaube ich eine noch ältere neben 7 zip als entpacker)
Zum Vergrößern anklicken....
Ist egal, aktualisiere sie alle.
Bereits WinRAR 7.11 hatte eine Sicherheitslücke geschlossen. Ein präparierter symbolischer Link konnte dazu führen, dass der Mark-of-the-Web-Mechanismus (MotW) nicht griff, wodurch beim Ausführen und Öffnen potenziell gefährlicher entpackter Dateien aus dem Internet keine Warnmeldung von Windows erscheint.
Zum Vergrößern anklicken....

Das heißt, Versionen vor 7.11 besitzen ebenfalls mindestens eine Sicherheitslücke. In der Versionen-History, kannst Du (teilweise zwischen den Zeilen) darin nachlesen, welche Sicherheitslücken wann geschlossen wurden. - Besonders die Einträge mit Dank an Firmen oder Personen weisen auf Sicherheitsprobleme hin
 
schoerg schrieb:
Bei 7zip wird zB nur die .exe entpackt und dann gestartet. Schlägt dann meistens fehl, weil DLLs und anderes Zeug nicht mitentpackt wird.
Zum Vergrößern anklicken....

Kann man das aber nicht per Rechtsklick ebenfalls komplett in einen eigenen Ordner entpacken oder die *exe in der exe aus dem Archiv starten?

Habe das Fenstersystem jetzt lange nicht mehr von innen gesehen, aber mir deucht, dem war so;-)

Für 7zip gilt dann genauso wie für das hier erwähnte WinRAR, dass regelmäßige Kontrolle auf Updates Pflichtprogramm ist. Aber das ist aj irgendwie bei jeder Software der Fall.
 
Ich hab anfangs vor 30 Jahren WinZip genutzt und recht bald ne Spezialversion von WinRAR von der CD in der PCpro, die ich nur selten kaufte, schon weil sich das Magazin von selber umblätterte oder zuklappte wenn man nicht Finger drauf hielt. Damit war auch verbilligtes Upgrade auf die Vollversion möglich und das bis heute.

Dieses Jahr gemerkt, daß der Win11 Explorer nicht richtig mit CAB Files umgehen kann, erstellt keine Ordnerstruktur. Das geht mit WinRAR.
 
Schwartz schrieb:
7zip seit Jahren. Mehr als halbjährige Updates braucht es bei einem Ent/Packer sowieso nicht. Russe hin oder her, das ist mir sowas von Wurst.

WinRAR war sicher auch OK, aber für so eine Software Geld bezahlen muss heute keiner mehr.
Zum Vergrößern anklicken....
Für winrar muss man auch nicht bezahlen.
 
cuco schrieb:
Doch, nach Ablauf der Testversion, was nach 40 Tagen passiert. Dass man die Meldung wegklicken und dann die Software weiter nutzen kann, heißt nicht, dass man das auch darf.
Zum Vergrößern anklicken....
Ich verstehe deinen Punkt, aber von "dürfen" habe ich auch nichts geschrieben. Sicher ist "müssen" Auslegungssache, aber es gibt kein System aus Repressalie, Klage oder technischer Unterbindung, die die Software am Weiterlaufen hindert.

Die Moraldiskussion wollte ich an der Stelle nicht aufmachen.
 
7zip war für mich die Erlösung von Winrar und seinem ständigen Nerven wegen einer Lizenz. Aufgeräumt, schnell, unkompliziert. Ich find es klasse.

Dadurch dass das Ding open source ist, hab ich persönlich auch wenig Angst, dass da irgendein russischer Staatstrojaner drin versteckt wird.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben