Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsACE-Format: Kritische Lücke in WinRAR erst nach 14 Jahren entdeckt
Hmm... aber selbst wenn, würde dennoch die ACE DLL benutzt werden zum entpacken. Hat also trotzdem sogesehen nichts mit WinRAR selbst zu tun? WinRAR ruft ja nur die entsprechenden Funktionen der DLL auf und die wiederum verursacht den Sicherheitsfehler.
14 Jahre lang hat keiner die Lücke ausgenutzt, weil keiner davon wusste. Kaum wird sie öffentlich bekannt gemacht, kommen die Hacker-Kiddies aus ihren Löchern und nutzen sie aus...
14 Jahre lang hat keiner die Lücke ausgenutzt, weil keiner davon wusste. Kaum wird sie öffentlich bekannt gemacht, kommen die Hacker-Kiddies aus ihren Löchern und nutzen sie aus...
Ich glaube es ging eher um das "bekannt machen". Ich finde auch, dass man es hätte besser lösen können. Aber ab einem gewissen Punkt muss so etwas einfach an die öffentlichkeit, bevor es von jemand gefunden wird und im Darkweb verkauft wird.
So meinte ich das nicht. Es ist dennoch kein eigentliches Problem von WinRAR, selbst wenn ein ACE-Archiv als RAR umbenannt wird. WinRAR wird nur den Header auslesen um zu prüfen, was für ein Dateiformat es ist und dann die unace.dll aufrufen. Im Update des Artikel wird es aber nun so dargestellt, als sei WinRAR das Problem der Lücke. Aber Fehler in Artikeln werden ja inzwischen nicht mehr korrigiert.
Nochmal: da die fehlerhafte Komponente (ace.dll) von WinRAR automatisch immer mitgeliefert wird, also ein Teil des Produkts ist, ist es auch ein Problem von WinRAR. Deswegen hat auch der Hersteller von WinRAR reagiert und eine neue Version veröffentlich die diese DLL nicht mehr enthält.
Ein Softwarehersteller ist verantwortlich für die DLLs, die zusammen mit der eigenen Software geliefert werden. Ist das gleiche Prinzip wie bei Zulieferern in anderen Bereichen. Wenn z.B. wegen fehlerhafter, sicherheitsrelevanter Teile in einem Auto wer zu Schaden kommt, wird auch nicht als erstes Bosch verklagt, weil die das Teil geliefert haben. Verantwortlich ist zunächst einmal allein der Hersteller. Natürlich kann der Hersteller dann später seinerseits in Regress gehen und somit Schadenersatzansprüche auf seinen Zulieferer abwälzen. Das kommt aber erst nachgelagert. Für dich als Endkunde ist der Hersteller verantwortlich, von dem du das Produkt bezogen hast.
So leicht kommt WinRAR nicht aus der Verantwortung. Sie hätten die entsprechende Routine für ACE ja auch selbst von Grund auf neu programmieren können und damit die volle Kontrolle. Habe sie aber nicht gemacht stattdessen ein fertiges Binary genommen, bei dem sie blind darauf vertrauen müssen, dass da drin alles passt. Derat blindes Vertrauen kann böse Folgen haben, für die man als Softwarehersteller dann eben auch völlig zu Recht zur Verantwortung gezogen wird.
Vielleicht hätte mal jemand für WinRar zahlen sollen, nach dem die 40 Tage Testversion abgelaufen war. Dann wäre auch Geld für Bugfixes da gewesen. So hatten die eben ein paar Jahre sparen müssen...
@Mordhorst3kSo leicht kommt WinRAR nicht aus der Verantwortung. Sie hätten die entsprechende Routine für ACE ja auch selbst von Grund auf neu programmieren können und damit die volle Kontrolle.
Sie hätten die entsprechende Routine für ACE ja auch selbst von Grund auf neu programmieren können und damit die volle Kontrolle. Habe sie aber nicht gemacht stattdessen ein fertiges Binary genommen, bei dem sie blind darauf vertrauen müssen, dass da drin alles passt. Derat blindes Vertrauen kann böse Folgen haben, für die man als Softwarehersteller dann eben auch völlig zu Recht zur Verantwortung gezogen wird.
Hätten sie nicht, da ACE selbst ein proprietäres Format ist, dessen Quellcode bzw. Dokumentation nicht öffentlich ist:
e-merge GmbH also produces a Commandline ACE for DOS; and a freeware command-line interface decompression tool for Linux (i386) and macOS called "Unace". e-merge GmbH also provides several libraries for developers, including a freeware decompression DLL called "UnACE.DLL". Some third-party archivers can read the format using this DLL. None of the above is open source free software.
Die aktuelle Version des Formats ist soweit ich weiß nicht dokumentiert. Der deutsche Entwickler ist schon vor einigen Jahren insolvent gegangen. Ende der 90er gab es vom ursprünglichen Entwickler Marcel Lemke ein Dokument zur Version 1.2 des Formats, das ist allerdings nicht kompatibel zur Version 2.0.
Vielleicht hätte mal jemand für WinRar zahlen sollen, nach dem die 40 Tage Testversion abgelaufen war. Dann wäre auch Geld für Bugfixes da gewesen. So hatten die eben ein paar Jahre sparen müssen...
Soviel ich weiß mangelt es den Entwicklern von WinRAR am Quellcode der DLL. Die DLL mit der Sicherheitslücke (UNACEV2.DLL) stammt nämlich vom Entwickler von WinACE und hat einen Zeitstempel von 2005. WinACE selbst gibt es nicht mehr, die letzte Version ist von 2007. ACE ist damit als Archivformat endgültig tot.
Wenn du für jedes proprietäre Archivformat ein separates Programm haben möchtest, steht dir frei das so zu handhaben. Die meisten Leute wollen einfach ein Programm, mit dem sie alle Archive öffnen können.
Ja, unter diesen Umständen müssten sie es lizenzen. Oder eben weglassen.
Ändert aber nichts an dem, was ich vorher geschrieben habe. Fehlende Lizenz oder Mangel an Alternative (wegen der fehlenden Dokumentation) entbindet nicht von der Verantwortung. Wäre ja noch schöner, Sicherheitsmängel begründen mit "wir hatten keine Alternative". Doch, ihr hattet eine Alternative: Einfach nicht machen. Software um jeden Preis mit allen erdenklichen Funktionen vollstopfen ist selten eine gute Idee. Hat schon gute Gründe, dass ACE heute am aussterben ist. Proprietäre Software ohne Quellcode und ohne Dokumentation von einer Firma, die zwischenzeitlich pleite ist, sollte man nicht einfach so jahrelang weiter verbreiten.
Die meisten scannen auch den Inhalt von Archiven. Wenn diese nun auch ACE Archive scannen können dürften sie auch die fehlerhafte Bibliothek mit drin haben und sind dann ebenfalls anfällig...
