News Archiv öffnen reicht: WinRAR-Schwachstelle lässt Angreifer Schadcode ausführen

[Valhal]

Die Sicherheitslücke ist natürlich tragisch, aber ich wollte mal noch eine andere Perspektive auf RAR geben. Es wurde hier sehr viel negatives zu RAR gepostet.

Das RAR Archivformat ist (leider) immer noch das beste Archivformat das es aktuell gibt. Dafür gibt es folgende Gründe:
Reparaturfunktionen für beschädigter Archive (inklusive teilweise Extraktion) + Aufteilung der Daten in mehrere Pakte/Volumes + Verschlüsselung

Wozu braucht man das? Für Backups

Durch die Recovery Records und die Möglichkeit kaputte Archive auch teilweise zu extrahieren, hat mir das schon oftmals einen schlimmen Datenverlust verhindert.

Wenn euer 7z Archiv ein kleines bisschen beschädigt ist (kaputte HDD, fehlerhafte Netzwerkübertragung?!) könnt ihr eure Daten vergessen, mit RAR besteht eine große Chance, dass keine Daten verloren gehen.

Ich verwende RAR schon sehr lange, für die allerwichtigsten Daten ist es unverzichtbar. Früher noch Backups auf CDs/DVDs gebrannt.... "defekte Stellen" waren da "häufig" vorhanden... mit RAR kein Problem.

Falls ihr ein Backup Tipp wollt:
RAR + Verschlüsselung + Recovery Records + kleine Volumes erstellen zum leichten hochladen + auf billige Cloud Hoster verteilen!

 

[Nikflin]

Die Frage ist eher, WinRar hat ja keine Automatischen Updates, oder?

Leider nicht. Wenn es über den MS Store bezogen wird kümmert der sich ansonsten Powershell öffnen und „winget upgrade winrar“ eingeben. Mit sowas wie einem cronjob ließe sich sowas dann auch automatisieren nur da kenn ich mich in Windows nicht so gut aus ob es sowas gibt.

 

[Darkman.X]

Das Windows-Pendant dazu heißt "Aufgabenplanung".

 

[sebish]

Winrar bestes Tool seit Windows XP. Stolzer Lizenzbesitzer.

 

[JennyCB]

WinRAR 6.23 final released
Bugs fixed:
Critical Bug: CVE-2023-40477
Critical Bug: CVE-2023-38831
https://www.win-rar.com/singlenewsv...s]=232&cHash=c5bf79590657e32554c6683296a8e8aa
Also, checkt euren Rechner mit dir unrar*.dll /s
Auf C: auf überall wo Programme liegen.
Habt ihr eine .dll gefunden->Rechtklick->Eigenschaften->Details->Versionsnummer
Kleiner 6.23 ist anfällig. Dann kann man die .dll austauschen bis die eigentliche App ein Update anbietet.
Btw ist .rar für mich auch so ein wenig WindowsXP-Nostalgie. 7-zip war danach besser.
NanaZip im Store ist 7-zip plus Windows 11-Integration im Menü und z.B. das .zstd-Format.
Doppelter Check von Author Kenji Mouri und Microsoft im Store auf 7-zip.
Automatische Updates des Entpackers als Store-App inklusive.

 

[leimer]

Artikel-Update: Wie Heise Online inzwischen in Erfahrung gebracht haben will, bezieht sich die Sicherheitslücke offenbar nicht nur auf WinRAR selbst, sondern auch auf andere Anwendungen, die von den Bibliotheken unrar.dll und unrar64.dll Gebrauch machen. So habe beispielsweise der Entwickler von Total Commander mittlerweile einen entsprechenden Patch für seinen Dateimanager veröffentlicht.

Darüber hinaus habe Andreas Marx von AV-Test darauf hingewiesen, dass er „über 400 Programme“ identifiziert habe, die die von Rarlab bereitgestellten Bibliotheken verwenden. Betroffen seien etwa auch Antivirenprogramme, die diese DLLs verwenden, um RAR-Archive zu durchsuchen.

Die Programme/Tools patchen, indem man die DLL-Datei selber austauscht -> sehr gute Idee.

Dass UnRAR von der Sicherheitslücke "RARLAB WinRAR Recovery Volume Improper Validation of Array Index Remote Code Execution Vulnerability" (CVE-2023-40477) betroffen ist, kann man im geänderten Quelltext von UnRAR von der Version 6.2.8 auf 6.2.9 erkennen (hier der diff beider Versionen). Es wurden Array-Index-Überprüfungen hinzugefügt, u. a. im Code für die Wiederherstellung von Recovery Volumes recvol3.cpp. Kann jemand mehr dazu sagen, das zusätzlich bestätigen (Bin nicht der C-Sprach-Experte)?

PS: War nicht der erste schwerwiegende Bug in UnRAR.exe (und wird nicht der letzte sein), wie man einer Abfrage bei CVE entnehmen kann. Die letzte schwerwiegende war im Dezember 2022 (CVE-2022-48579 UnRAR before 6.2.3 allows extraction of files outside of the destination folder via symlink chains.). Darüber wurde jedoch nicht berichtet.

Will sagen, wir hatten schon länger eine Sicherheitsproblem mit den unrar.dlls, insofern ist es gut, dass durch die aktuelle Sicherheitsllücke die Software-Hersteller, die diese dlls verwenden, auf die aktuelle Version wechseln.
UPDATE: Frage hat sich erledigt; Der Hersteller hat klargestellt, dass die unrar.dlls nicht von der Sicherheitslücke betroffen sind, UnRAR.exe hingegen schon!

 

[DocAimless]

Falls ihr ein Backup Tipp wollt:
RAR + Verschlüsselung + Recovery Records + kleine Volumes erstellen zum leichten hochladen + auf billige Cloud Hoster verteilen!

Oder man nutzt gleich Cryptonator in Cyberduck.

 

[JennyCB]

Wenn euer 7z Archiv ein kleines bisschen beschädigt ist (kaputte HDD, fehlerhafte Netzwerkübertragung?!) könnt ihr eure Daten vergessen, mit RAR besteht eine große Chance, dass keine Daten verloren gehen.

Wenn du eine kaputte HDD oder eine fehlerhafte Netzwerkübertragung hast, dann hast du ganz andere Probleme.
Das waren wie gesagt Windows-XP-Zeiten als noch auf Diskette gespeichert wurde und man noch versuchte so viel wie möglich wieder herzustellen.
Wer sich darauf verlässt hat schon verloren.
Heutzutage hat man ein Backup und verlässt sich nicht auf eine Wiederherstellung der Daten durch RAR.
Wie soll das auch gehen. Verlorene Bytes sind verloren. Prüft jediglich ob Dateien über Hash noch stimmen.
Das heißt man kann Datei1 und Datei3 wiederherstellen aber Datei2 nicht da korrupt.

 

[Stefan1200]

Wie soll das auch gehen. Verlorene Bytes sind verloren. Prüft jediglich ob Dateien über Hash noch stimmen.
Das heißt man kann Datei1 und Datei3 wiederherstellen aber Datei2 nicht da korrupt.

Es gibt schon Möglichkeiten, siehe Dateisysteme, die einzelne Blöcke wieder herstellen können, wenn drum herum, samt Prüfsummen & Co, noch alles vorhanden ist. Aber das widerspricht ja eigentlich den Sinn einer Komprimierung, bei dem man alle redundanten Informationen entfernt, um Speicherplatz zu sparen.

 

[xexex]

Wie soll das auch gehen. Verlorene Bytes sind verloren.

Jeder Festplatte nutzt ähnliche Verfahren zur "Reparatur" von Daten, verloren geht das nur etwas wenn die Beschädigung davon nicht mehr abgedeckt werden kann.

In addition to the Encryption Feature, WinRAR‘s strength lies in the recovery of data in partially damaged archives. With the RAR 5.0 format, the Recovery Record is based on Reed-Solomon codes. This helps to increase the chance of data recovery significantly.

Klingt doch ganz simpel.....

 

[Valhal]

Wenn du eine kaputte HDD oder eine fehlerhafte Netzwerkübertragung hast, dann hast du ganz andere Probleme.
Das waren wie gesagt Windows-XP-Zeiten als noch auf Diskette gespeichert wurde und man noch versuchte so viel wie möglich wieder herzustellen.
Wer sich darauf verlässt hat schon verloren.
Heutzutage hat man ein Backup und verlässt sich nicht auf eine Wiederherstellung der Daten durch RAR.
Wie soll das auch gehen. Verlorene Bytes sind verloren. Prüft jediglich ob Dateien über Hash noch stimmen.
Das heißt man kann Datei1 und Datei3 wiederherstellen aber Datei2 nicht da korrupt.

Du hast es nicht verstanden. Es geht hier um Backups. Du machst das Backup auf eine gesunde Festplatte (Hash OK!) und nach 2-10 Jahren möchtest du das Backup wieder lesen (Hash nicht mehr OK, weil teilweise kaputt).

Ja für nicht Tekkis klingt das unglaublich, aber RAR kann die Daten fehlerfrei wiederherstellen, wenn Bytes fehlen. Dank Mathematik. Natürlich nicht wenn zu viel kaputt ist, aber bei geringen Mengen durchaus. Deswegen ist RAR das beste für Backups.

Die Frage ist auch was du von Backups bei deinen wichtigsten Daten erwartest. Für die meisten Menschen sind die wichtigsten Daten Bilder und Videos der eigenen Familie (besonders eigene Kinder), also quasi Erinnerungsstücke. Sowas möchtest du auch noch in 50 Jahren anschauen können.

Oder man nutzt gleich Cryptonator in Cyberduck.

RAR benutze ich seit 20 Jahren, gab es damals schon das Zeug?
Ich bin mir sehr sicher, dass man RAR auch noch in 20 Jahren entpacken kann. Glaubst du das bei dem Cryptonator auch? Cryptonator ist ein Nischenprodukt, nur ~10k Stars bei github.... RAR hat mehrere Millionen Benutzer.

 

[DocAimless]

RAR benutze ich seit 20 Jahren, gab es damals schon das Zeug?
Ich bin mir sehr sicher, dass man RAR auch noch in 20 Jahren entpacken kann. Glaubst du das bei dem Cryptonator auch? Cryptonator ist ein Nischenprodukt, nur ~10k Stars bei github.... RAR hat mehrere Millionen Benutzer.

Closed Source vs. Open Source, ich vertraute lieber etwas was man überprüfen kann als was wo man sich auf andere verlassen muss.
Wenn WinRAR für dich das Ding ist, Ok. Aber scheinbar bewegst du dich auch nur in einer Windowswelt, denn abseits davon ist .rar einfach nicht existent.

 

[gymfan]

Heutzutage hat man ein Backup und verlässt sich nicht auf eine Wiederherstellung der Daten durch RAR.

Trotzdem ist man heilfroh, wenn das letzte verblieben Backup, das man auf unsicheren Datenträgern gespeichert hat (scheint bei Valhal ja vorzukommen, ich kann meine DVD-Rs aus 2004-2007 noch fehlerfrei lesen), noch retten kann, weil die Wohnung abgebrannt/abgesoffen ist und der Cloudanbieter die Daten auch verloren hat.

Allerdings würde ich auch für sowas immer noch lieber open source nutzen, also z.B. 7zip+par2. Auch, wenn anscheinend unrar mittlerweile mit den Recovery-Files von WinRAR 6 umgehen kann.

Wie soll das auch gehen. Verlorene Bytes sind verloren.

Nein, dafür gibt es die Recovery-Files. Auch wenn ich sowas zuletzt zu Zeiten benötigt habe, als par/par2 erfunden/genutzt wurde. Ohne Vergleichbares würde kaum eine CD/DVD/HDD/SSD ihre Daten wieder vollständig und korrekt liefern.

RAR benutze ich seit 20 Jahren, gab es damals schon das Zeug?

WinRAR hat die Recovery Files wohl mit WinRAR 4, also um die 2013, eingeführt. Da gab es par/par2 schon seit mit. 20 Jahren. Und die Anwendungen (CD/DVD) waren da ebenfalls schon stein und wurden nur noch selten benutzt.

Wenn Du für (gesplittete) Backups (von vielen kleinen Datene) wenigstens noch den wirklich sinnvollen Vorteil von WinRAR gegenüber 7zip genannt hättest, wäre ich ja u.U. noch dabei (falls ich bis an mein Lebensende Windows nutzen müsste).

 

[JennyCB]

Kein Algorithmus, keine Mathematik kann verlorene Daten wieder herstellen.
Man kann zusätzliche recovery-Daten speichern, ist aber eher widersinnig eines Komprimierungstools, da man ja Daten einsparen möchte.
.rar war mein Tool zu Disketten-Zeiten. Eine Wiederherstellung korrupter Dateien hat niemals geklappt.

 

[gymfan]

Klar hat das geklappt, nur dass WinRAR die Option noch nicht hatte, als man sowas öfters mal benötigt hätte. Wenn in den NetNews mal ein Block der Daten gefehlt hat, aber genügend intakte Recovery-Blöcke vorhanden waren, dass ließ sich die Datei wieder herstellen. Selbiges, wenn man einen defekten Sektor auf einer CD/DVD hatte, man also Schrottmedien genutzt hat.

Klar braucht es dafür Extradaten, in der Regel nutzen die Tools dafür 5% Recovery-Files. Mir sind 5% Platzverschwendung auf der DVD, die sonst sowieso ungenutzt bleiben würden, lieber wie 100% Verschwendung durch eine zweite DVD.

Was daran bei Komoression der Daten nutzlos sein soll, ist mir ein Rätsel. Bei einem RIAD5 aus 3 Platten schalte ich die 3. Platte auch nicht ab, weil ich im Dateisystem Kompression oder Deduplikation nutze. Das ist am Ende, genauo wie die genutzte Backup-Strategie, einzig die Frage der eigenen Risikobewertung.

 

[xexex]

nur dass WinRAR die Option noch nicht hatte, als man sowas öfters mal benötigt hätte.

RAR hatte die Funktion bereits, als man noch Disketten über die Mailboxen vertrieben hatte, man musste dies aber auch einschalten. Richtig ist, die aktuelle Reed-Solomon Implementierung kam erst gegen 2007.

 

[Oli_P]

RAR war für mich nie ein großes Thema. Ich kenne Zip-Dateien und 7z-Dateien. Sicherlich hat das RAR-System Vorzüge. Ich nutze sowas aber nicht für Backups. Habe genug (verschlüsselten) Speicherplatz und muss nix packen (und verschlüsseln). Mit komprimierten Archiven werd ich meist konfrontiert, wenn ich irgendwas runterlade. Nur in seltenenen Fällen packe und verschlüssele ich Dateien in ein Archiv. Nutze dafür eigentlich immer 7-Zip. Und von diesen Archiv-Dateien hab ich immer Backups.

 

[coffee4free]

Artikel-Update: Da in den letzten Tagen reichlich Unklarheit darüber herrschte, welche Anwendungen nun von CVE-2023-40477 betroffen sind und welche nicht, hat der Entwickler von WinRAR mittlerweile selber ein Statement zum Sachverhalt veröffentlicht. Demnach seien die von Rarlab bereitgestellten Bibliotheken unrar.dll und unrar64.dll grundsätzlich nicht anfällig für eine Ausnutzung der Sicherheitslücke. Grund dafür sei der Umstand, dass die DLL-Dateien den problematischen Code gar nicht enthalten, da dies durch eine Präprozessorvariable namens „RARDLL“ verhindert werde.

Darüber hinaus weist Rarlab darauf hin, dass es für Angreifer schwierig sei, „den Inhalt von Daten zu kontrollieren, die über den Pufferrand hinaus geschrieben werden“, sodass eine gezielte Ausführung von Schadcode alles andere als trivial erscheint. „Alles, was wir bisher gesehen haben, ist ein Denial-of-Service, also ein Absturz der Anwendung, der nicht zur Codeausführung, zum Überschreiben von Systemdateien oder zu anderen schwerwiegenden Sicherheitsauswirkungen führt“, so der Entwickler.

 

[AndrewPoison]

@coffee4free ggf kann man gleich die nächste News zu 7zip schreiben, dass nun auch durch die Schlagzeilen getrieben wird (https://www.heise.de/news/Jetzt-upd...7-Zip-ermoeglichen-Codeschmuggel-9287669.html)

 

[baXus1]