Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsArchiv öffnen reicht: WinRAR-Schwachstelle lässt Angreifer Schadcode ausführen
@WulfmanGER Früher gab es die Archive öfter in der "Szene" zu der Zeit, heute begegnet mir eigentlich kein Archiv mehr das ich nicht mit 7zip öffnen kann.
für Freunde des Standbilde mit Untertiteln gibt es solche Archive heute leider immer noch. Zwar nicht der eigentlich content - aber es ist absolut in, rar-Dateien in rar zu packen - wobei das äußere rar WinRar5 ist (das innere würde mehr sinn geben, da mehrere duplikate drin sind und WinRar5 setzt bei Duplikaten nur einen "Link" - also 2x 10Mbyte (final, gepackte größe) kosten so nur 10Mbyte platz)
Das ist wirklich lustig. Aber genau der Umstand, dass WinRAR so kulant mit der Nutzung nach der Testperiode ist, war für mich ein Grund, mir die Software irgendwann zu kaufen.
WinRAR war mal wieder gratis bei ASUS Board dabei gewesen. Darum ist es auch wieder auf dem System gelandet. Naja seit 1995 nutze ich WinRAR schon... 🤷♂️ hat sich halt so ergeben.
Wenn ich bedenke, dass seit 19 Tagen ein Patch bereit ist und der Bug auch erst 12 Tage danach veröffentlicht wurde, dann finde ich das nicht zu niedrig.
Ranayna schrieb:
Wenn man sich ueberlegt das bei einem Programm wie WinRAR gerne irgendwelche Dateien aus dem Internet geoeffnet werden, haette ich das hoeher gewichtet.
Wenn ich da Panik habe, schaue ich mir den Quelltext an und compiliere selber. Ich habe eher Bedenken vor closed source Software, die dann auch noch nur für ein Betriebssystem existiert.
WulfmanGER schrieb:
hat es nicht - aber sowas ist auch sehr sehr selten. Ich mache alle 2-3 Monate ein Update-Tag
Ist ja auch kein Problem, wenn man keine Archive aus unbekannter und potentiell gefährlicheer Quelle öffnet und dazu noch keine IT-Newsseiten liest (die Meldung ist ein paar Tage alt).
Unser Konzern setzt 7-Zip seit jeher als einziges erlaubtes Zip-Programm ein (optional buchbar für alle Büroarbeitsplätze). So gefährlich kann es also nicht ein.
7-Zip hatte ja öfter kritische Schwachstellen, wo ein Patch auch eine Zeit lang auf sich warten ließ.
Am Ende ist keine Software perfekt, es wird immer Lücken geben, man sollte halt immer versuchen auf neustem Stand zu bleiben.
Wichtig ist auch hier zu erwähnen, dass sowohl 7zip, als auch Winrar teils auf Bibliotheken setzen, welche für die meisten Schwachstellen verantwortlich sind. Das ist aber zwingend notwendig um die Breite an Archiven zu unterstützen.
Bei Winrar gibt es aber keinen Autoupdater, zumindest nicht dass es mir bewusst wäre, das ist eigentlich in der heutigen Zeit nicht so geil.
Wenn ich bedenke, dass seit 19 Tagen ein Patch bereit ist und der Bug auch erst 12 Tage danach veröffentlicht wurde, dann finde ich das nicht zu niedrig.
Die CVSS Einstufung hat mit der Patchverfuegbarkeit nichts zu tun.
Es geht dabei um Impact und Ausnutzbarkeit. Das ist "nur" 7,8, weil es halt Userinput braucht und nicht automatisch geht.
Da aber WinRAR halt viel fuer irgendwo herunter geladene Sachen verwendet wird, oft aus dubiosen Quellen, wuerde ich mir fuer solche Faelle etwas mehr Flexibilitaet um CVE System wuenschen.
Wichtig ist das fuer sowas wie eine Cyberversicherung.
Wir haben bei uns in der Firma eine solche, und die sagen: CVSS 8,0 oder hoeher: Innerhalb von 10 Werktagen nach Verfuegbarbeit einer Mitigation (Patch oder Workaround) hat das behoben zu sein.
Leider hat das zur Folge das bei uns "kleinere" Luecken wie diese hier gerne mal ignoriert werden, und damit haette ich Bauchschmerzen.
Rar und sein Format sind doch eigentlich schon lange überholt, LZMA/7zip erreicht viel bessere Kompression und ZSTD ist zigfach schneller und sogar kleiner.
Unser Konzern setzt 7-Zip seit jeher als einziges erlaubtes Zip-Programm ein (optional buchbar für alle Büroarbeitsplätze). So gefährlich kann es also nicht ein.
unser Konzern wollte 7-Zip kicken - weil es aus dem bösen Russland kommt und hier plötzlich enorme Sicherheitsrisiken befürchtet wurde. Es durch eine größere Intervention einiger Mitarbeiter wurde das gekickt. Die alternative zu 7-Zip gibt es nämlich nicht wirklich - ja es gibt natürlich zig tools. Wenn man genau hinschaut bieten die alle 7-Zip und RAR-Support (der Hauptentwickler bei RAR ist ein Russe...). Das ist unser Security nicht so aufgefallen. Wir argumentierten dann wenn 7-Zip dann doch besser das "große"/"bekannte" Original. Hier haben sicher mehr Leute ein Auge drauf als auf Super-Duper-Zip, welches Blind die dll's von 7-Zip einbindet und somit überhaupt keine kontrolle mehr existiert....
Deswegen nutze ich seit Jahren Bandizip. Einige Eigenheiten bei der 7zip Bedienung haben mich gestört. Ich habe auch mal testweise PeaZip probiert, damit wurde ich aber überhaupt nicht warm.
Habe zwar auch immer 7zip genutzt, aber selbst das hab ich aktuell gar nicht mehr installiert. Für zip-Dateien reichen mMn Windows-Boardmittel und mit Rar/7z-Dateien habe ich quasi nie zu tun. Mit einer der kommenden Windows 11-Versionen soll Windows wohl auch mit rar/7z zurecht kommen.
Ich nutze weiter rar.
Hab’s vor 15 Jahren gekauft, weil der Anbieter nicht so dreist ist wie andere und selbst die 40 Tage Testversion immer lief.
Sympathisch, daher haben die mein Geld bekommen.
Rev Dateien in beliebige Parts wiederherstellen zu können ist das beste Feature von rar.
