News ACE-Format: Kritische Lücke in WinRAR erst nach 14 Jahren entdeckt

[Sennox]

14 Jahre lang hat keiner die Lücke ausgenutzt, weil keiner davon wusste.

Interessant und das weißt du woher?
Wer sagt denn, dass in der Vergangenheit das nicht schon passiert ist?
Wenn sowas vorallem in z.B. der Warezszene passiert, dringt das nicht so schnell nach außen wie in anderen Fällen.
Vielleicht hat diese Lücke nur nie den großen Durchbruch erreicht weil die, die davon wußten, kein großes Ding daraus gemacht haben?
Das können wir alles nicht wissen, dass aber die Lücke nun gefährlicher den je ist, ist wahr.

 

[Zero_Point]

Proprietäre Software ohne Quellcode und ohne Dokumentation von einer Firma, die zwischenzeitlich pleite ist, sollte man nicht einfach so jahrelang weiter verbreiten.

Und warum? Jetzt komme nicht wegen der Sicherheit. Dann müsste man jegliche Software einstampfen, da sie meist Sicherheitslücken hat.

 

[Computerfuchs]

Und warum? Jetzt komme nicht wegen der Sicherheit. Dann müsste man jegliche Software einstampfen, da sie meist Sicherheitslücken hat.

Doch, natürlich komme ich wegen der Sicherheit. Und ja, genau das müsste man tun!

Wobei einstampfen in diesem Kontext ja auch nicht bedeutet, dass man die Software unwiederbringlich aus dem Internet tilgt. Wer noch irgendwo ein ACE-Archiv findet und das unbedingt entpacken möchte, kann gerne WinRAR 1.0 oder sonst irgendwas uraltes von Anno dazumal laden und das nutzen.

Der Vorteil davon ist, dass das dann auf eigene Verantwortung geschieht. Wenn ich als Nutzer mir ganz bewusst eine 14 Jahre alte Software lade und die nutze, weiß ich, worauf ich mich einlasse.
Wenn ich hingegen eine aktuelle Version von einem Programm nehme, das vermeintlich regelmäßig Updates bekommt und darin verpackt sind Binarys, die seit 14 Jahre niemand angefasst hat... das ist nicht in Ordnung.

 

[Goodplayer]

Ändert aber nichts an dem, was ich vorher geschrieben habe. Fehlende Lizenz oder Mangel an Alternative (wegen der fehlenden Dokumentation) entbindet nicht von der Verantwortung.

Äh, was ist das denn für eine Argumentation? Wo haben sie sich denn der Verantwortung entzogen? Sie haben schnell darauf reagiert und die entsprechende Library entfernt. Die betroffene Datei "unacev2.dll" war seit über 15 Jahren der Standard zum Entpacken von ACE-Archiven. In zahlreichen anderen Programmen wird sie immer noch verwendet.

Wäre ja noch schöner, Sicherheitsmängel begründen mit "wir hatten keine Alternative". Doch, ihr hattet eine Alternative: Einfach nicht machen.

Das hört sich so an, als ob die Sicherheitslücke seit 20 Jahren bekannt gewesen wäre. War sie aber nicht.

Software um jeden Preis mit allen erdenklichen Funktionen vollstopfen ist selten eine gute Idee.

Soll man für jedes Format also das Programm des eigentlichen Herstellers installieren, selbst wenn dieser womöglich gar nicht mehr existiert?

Hat schon gute Gründe, dass ACE heute am aussterben ist.

Der Grund sind aber nicht Sicherheitslücken, sondern weil RAR seit Version 2.90 eine bessere Kompression bot, um die die Jahrtausendwende herum war ACE hier besser.

Proprietäre Software ohne Quellcode und ohne Dokumentation von einer Firma, die zwischenzeitlich pleite ist, sollte man nicht einfach so jahrelang weiter verbreiten.

Das hat jetzt nichts unbedingt mit der Lizenz zu tun. Es ist leider "normal", dass in Projekten teilweise noch uralte Versionen von Open-Source-Bibliotheken mit Sicherheitslücken verwendet werden. Das fällt dann meist erst auf, wenn es zu spät ist.

Fünf von sechs Routern enthalten bekannte Sicherheitslücken
https://www.golem.de/news/sicherhei...-bekannte-sicherheitsluecken-1810-136957.html

Die Hersteller integrieren häufig Open-Source-Bibliotheken in ihre Firmware. Die Studie untersuchte die 186 Router auf bekannte Sicherheitslücken in diesen Bibliotheken und wurde auf 155 Geräten fündig. Von diesen 155 betroffenen Routern enthielt jeder im Durchschnitt 186 Lücken. Insgesamt fanden die Forscher 32.003 Sicherheitslücken. Von diesen bargen 7 Prozent ein kritisches und 21 Prozent ein hohes Risiko.

 

[Zero_Point]

Doch, natürlich komme ich wegen der Sicherheit. Und ja, genau das müsste man tun!

Wobei einstampfen in diesem Kontext ja auch nicht bedeutet, dass man die Software unwiederbringlich aus dem Internet tilgt. Wer noch irgendwo ein ACE-Archiv findet und das unbedingt entpacken möchte, kann gerne WinRAR 1.0 oder sonst irgendwas uraltes von Anno dazumal laden und das nutzen.

Der Vorteil davon ist, dass das dann auf eigene Verantwortung geschieht. Wenn ich als Nutzer mir ganz bewusst eine 14 Jahre alte Software lade und die nutze, weiß ich, worauf ich mich einlasse.
Wenn ich hingegen eine aktuelle Version von einem Programm nehme, das vermeintlich regelmäßig Updates bekommt und darin verpackt sind Binarys, die seit 14 Jahre niemand angefasst hat... das ist nicht in Ordnung.

Mit "jegliche Software einstampfen" meine ich wirklich jede Software. Deine Hardware wäre damit nur noch ein Briefbeschwerer, da es keine Computer mehr geben würde. Das wäre nötig, weil du Sicherheitslücken nie ausschließen kannst, selbst in deiner eigenen Software nicht. Daher zählt das Argument mit dem (fehlenden) Quellcode und dein letzter Satz nicht. Oder wäre es dir lieber wenn der Hersteller für die Sicherheitslücke 14 Jahre lang den Quellcode hatte, sie aber erst jetzt schließt? Das ist nämlich das, was wir bei fast jeder Software haben: unentdeckte Sicherheitslücken obwohl der Autor den Quellcode hat.

 

[Computerfuchs]

Äh, was ist das denn für eine Argumentation? Wo haben sie sich denn der Verantwortung entzogen?

Ups, da ist wohl im Laufe der Diskussion der Bezug verloren gegangen.

Ich bezog mich ursprünglich auf diesen Beitrag, in dem dem kritisiert wurde, die Darstellung in dem Artikel sei falsch und ComputerBase solle das ändern, weil es "kein eigentliches Problem von WinRAR" sei.

Gemeint war folglich nicht, wie WinRAR selbst darauf reagiert ("Verantwortung übernehmen"), sondern wie es aus externer Sicht wahrgenommen wird ("verantwortlich machen"). Ein kleiner, aber feiner Unterschied.
Es geht also letztlich um die Schuldfrage und darum, dass ComputerBase völlig zu Recht sehr kritisch über WinRAR berichtet (und nicht etwa über die Firma, die die fehlerhafte DLL vor vielen Jahren ursprünglich programmiert hat).

Mit "jegliche Software einstampfen" meine ich wirklich jede Software.

Das meinst DU. Ich meine das nicht. Mir Dinge in den Mund legen, die ich nie gesagt habe, ist ne schlechte Argumentationstechnik.
Ich bin nur dagegen, uralte Software zu verwenden, die offensichtlich nicht mehr weiterentwickelt wird, da der Entwickler pleite ist und deren Sicherheit nicht prüfbar ist, da der Code nicht einsehbar ist. Nicht mehr und nicht weniger.

Man kann Sicherheitslücken nie gänzlich vermeiden. Das wäre utopisch. Aber durch laufende Kontrolle und Weiterentwicklung kann man trotzdem viel tun. Heißt also konkret, entweder Open Source verwenden oder wenn es Closed Source ist, dann zumindest von einem aktiven Entwickler, der selbst daran arbeitet und Updates bereitstellt. Binary, bei dem garantiert ist, dass da niemals was dran geändert wird, weil der Entwickler seit Jahren pleite ist, ist doch praktisch eine Einladung, genau dort nach Lücken zu suchen.

 

[Zero_Point]

Das meinst DU. Ich meine das nicht. Mir Dinge in den Mund legen, die ich nie gesagt habe, ist ne schlechte Argumentationstechnik.

Wenn man deine Argumentation weiter denkt und auf die Tatsachen bezieht, dann willst du aber genau das.

Ich bin nur dagegen, uralte Software zu verwenden, die offensichtlich nicht mehr weiterentwickelt wird, da der Entwickler pleite ist und deren Sicherheit nicht prüfbar ist, da der Code nicht einsehbar ist. Nicht mehr und nicht weniger.

Und wenn uralte Codereste mitgeschleppt werden und deren Sicherheit nicht überprüft wird, dann ist es plötzlich egal? Wenn nicht, trifft wieder das zu, was oben steht.

Man kann Sicherheitslücken nie gänzlich vermeiden. Das wäre utopisch. Aber durch laufende Kontrolle und Weiterentwicklung kann man trotzdem viel tun. Heißt also konkret, entweder Open Source verwenden oder wenn es Closed Source ist, dann zumindest von einem aktiven Entwickler, der selbst daran arbeitet und Updates bereitstellt. Binary, bei dem garantiert ist, dass da niemals was dran geändert wird, weil der Entwickler seit Jahren pleite ist, ist doch praktisch eine Einladung, genau dort nach Lücken zu suchen.

Und wo findest diese Kontrolle denn garantiert statt? Und gerade Open Source ist ein Eldorado für Hacker, da sie den Quellcode einsehen können, Lücken aber nicht verraten müssen.
Was ist wenn nach 14 Jahren in Windows oder einem anderen Programm oder OS eine alte Sicherheitslücke gefunden wird? MS hat den Quellcode. Sollen sie Windows deswegen einstampfen weil es erst nach 14 Jahren (von anderen) bemerkt wurde? Genau das ist doch deine Forderung. Denn die Lücke könnte bereits seit 14 Jahren ausgenutzt worden sein. Nur weil MS den Quellcode hat ist die Lücke deiner Meinung nach ok.
Bei WinRAR hat man angemessen reagiert und damit ist die Sache erledigt. Was wäre denn wenn sie den Quellcode gehabt hätten? Dann wäre die Lücke halt nach 14 Jahren geschlossen oder das Modul trotzdem entfernt worden, aber du wärst glücklich. Nur weil sie den Quellcode hätten? Seltsame Logik. Für den Nutzer wäre das Ergebnis nämlich exakt dasselbe.

 

[Dr.Bondage]

Geil, die Lücke ist bestimmt der Hammer. Damit kann jeder jeden hacken.

 

[XamBonX]

Nutz ja eh kaum einer, deshalb so lange

 

[Arcturus128]

Was nutz eh kaum einer? Winrar oder ACE? Wie gut (für Kriminelle), dass man das ACE-Format auch in RAR umbenennen kann und man gar nicht weiß was man gerade nutzt, Winrar es aber trotzdem als ACE behandelt (sofern man eine alte Version nutzt).

 

[Zero_Point]

@Arcturus128
Das siehst du sehr wohl, wird in WinRAR angezeigt oder auch in den Dateieigenschaften. Man muss halt hinschauen.

 

[Arcturus128]

Schon klar, aber nicht an der Dateiendung und das werden die meisten Leute daher nicht erkennen.

 

[Zero_Point]

Die Dateiendung wird im Explorer aber oft ausgeblendet und das Symbol ist für beide Formate auch dasselbe. Und mal ehrlich, welcher Normalnutzer achtet schon darauf? Außerdem gab es schon genug Sicherheitslücken in Packprogrammen, diese hier ist eine von vielen und eine der wenigen, über die überhaupt medial berichtet wird.

 

[Sennox]

@Arcturus128
Das siehst du sehr wohl, wird in WinRAR angezeigt oder auch in den Dateieigenschaften. Man muss halt hinschauen.

Was soll das bringen?
Die Lücke wird in dem Moment ausgenutzt wo das Archiv von Winrar angefasst und mit der ACE DLL geöffnet wird.
Gerade "Otto Normalo" kann davon stark betroffen sein!

 

[mikeStevens]

Theoretisch ist das kein Problem. Auf ACE-Dateien kann man sicher verzichten. Es besteht aber bei älteren Versionen die Gefahr, das jemand eine ACE-Datei in eine Zip-Datei Steckt. und die Wiederum nochmal in eine ZIP-Datei steckt (...). Jetzt könnte es passieren, dass man sich ungeduldig "in die Tiefe" klickt, und dann doch die ACE-Datei erwischt.