ComputerBase Menü
Aktuelles

News Archiv öffnen reicht: WinRAR-Schwachstelle lässt Angreifer Schadcode ausführen

Zu allem Überfluss existieren dank der total sinnlosen Versionierung von Rarlabs Unmengen an verschiedenen Versionen mit der selben Versionsnummer.
Haber gerade von deren Webseite und von CB die neuesten Files gesaugt und auch die sind unterschliedlich groß. Die Dateien die ich vor 1 Monat heruntergeladen habe waren noch kleiner. (Im Bild aber nicht enthalten)
Wenn man etwas patcht dann bitte wenigstens ne neue Subnummer verwenden.
Und nun stellt sich die Frage welche Datei ist die aktuellste?
wr.png

Und die Releasenotes Infos mischt man Kraut und Rüben (Beta/Final) irgendwie zusammen.
Versionierung geht anders.

p.s. Mozilla schafft es auch nicht die 32 Bit von der 64 Bit Version im Namen zu trennen. Aber wenigstens bekommen Neue Versionen dort andere Nummern.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: McTheRipper und input_iterator
Schinken42 schrieb:
Allerdings gehe ich nicht davon aus, dass 7.zip vor ähnlichen Schwachstellen gefeit ist.
Zum Vergrößern anklicken....

Ist es auch nicht. 7-Zip hatte gerade ein Update veröffentlicht das einige Sicherheitslücken schließen soll, die als hochriskant eingestuft werden.
 
  • Gefällt mir
Reaktionen: s1ave77 und cryeR
input_iterator schrieb:
7-Zip hatte gerade ein Update veröffentlicht
Zum Vergrößern anklicken....
"Grade"? Das Update auf 23.01 wurde vor ueber 2 Monaten veroeffentlicht.
Aehnlich wie ja auch die WinRAR Luecke aus diesem Artikel schon Wochen vorher gefixt war.

Das ist das Prinzip der "Responsible Disclosure". Luecken werden idealerweise erst veroeffentlicht, wenn es einen Fix gibt. Admins die auf Zack sind haben dann schon laengst das Update installiert, oder wenn nicht koennen dann sofort reagieren.
Veroeffentlichen ohne Fix macht man eigendlich nur, wenn die Softwarehersteller nicht auf die Luecke reagieren. Eingebuergert haben sich 60 bis 90 Tage.
 
  • Gefällt mir
Reaktionen: msv, McTheRipper und input_iterator
hab auf 7zip gewechselt
 
Ich hab jetzt eigentlich schon seit langer zeit weder winrar noch 7zip da ich eigentlich nur Downloads Entpacke und das kann Windows schon ne ganze zeit lang.

Also die klassischen .zip Ordner.
 
Hier tun ja gerade die Privatanwender so, als ob sie das krass betreffen würde. In wie vielen Fällen lädt man ein Archiv denn runter und guckt nur rein? Zu mehr als 90% wird die Schadhafte Datei im Archiv doch eh entpackt und ausgeführt.
 
DocAimless schrieb:
Closed Source vs. Open Source, ich vertraute lieber etwas was man überprüfen kann als was wo man sich auf andere verlassen muss.
Zum Vergrößern anklicken....
Wie viel Quellcode hast du selbst überprüft? Oder verlässt du dich bei der Überprüfung auf andere?
 
Kommt ganz auf die Sprache an. Mir ist es aber lieber das man es tun könnte bzw. andere die es verstehen tun können und dann ihren Senf dazu abgeben, als das man auf Audits warten müsste, wo der Entwickler seinen Code überprüfen lässt.
 
tollertyp schrieb:
Wie viel Quellcode hast du selbst überprüft? Oder verlässt du dich bei der Überprüfung auf andere?
Zum Vergrößern anklicken....

Sie verstehen die Thematik nicht.

Wobei ich sage. Vollverschlüsseltes Gnu Gentoo Linux wo ich selbst alles vom Quellcode baue seit 2006.
Einige Ausnahmen wie Firmware, das Binärpaket Google Chrome www-client, Binärpaket Mozilla-Firefox. Aber es hält sich in Grenzen mit der Firmware vom Mainboard und Prozessor und INTEL WLAN.

W11Pro ist nur für die Spiele installiert. Andere haben nur eine PS5 und eine PS4 und eine XBOX und eine SWITCH zum Spielen. Ist im Grunde dasselbe, derselbe Gedanke.

--

Grundtenor - Zusammenfassung
  • Windows hat ein Problem
  • Ramsch Software hat ein Problem
  • sehr kleine Firma prüft ihre RAMSCH Software nicht.

Mir egal, ob andere sich dann beklagen. Ich hatte WINRAR zuletzt im 2000er Jahr benutzt. Da war noch die Thematik wie bekomme ich Daten über Floppy DISK als Schüler nach Hause.
Winrar und Winzip sind so Programme vermutlich für Laien die Windows installiert haben.
Andere verwenden andere Werkzeuge die noch mehrere Formate bearbeiten können.

Speziell bei so einem kleinen Programm wie WINRAR erwarte ich mir schon dass der Code ordentlich geprüft wird.

--

Zurückkommend zu der Frage vom Tollertyp ...

Ich habe genug Bugs eingemeldet bei gentoo linux und kernel.org seit 2006.

Die gentoo-sources und die gnu toolchain habe ich so paramtrisiert, dass einiges nicht möglich ist bzw. die Software sich nicht bauen lässt. Es gibt sehr viele Sicherheitsmechanismen, nur muss man diese verwenden wollen. Dies wird bei einem Binär Windows und einem Binär Linux Derivat wie Ubuntu oder Debian nicht gehen.

Sind wir wieder beim Thema, Bugs melden. Wenn sich die Software sich nicht bauen lässt, deutet es auf schlechte Codebausteine hin oder schlechtes Design.

Ich bin 2006 zum Schluss gekommen, dass Windows mehrere Design Fehler hat. Es wird anders bezeichnet Winrar Lücke, CRACK, VIRUS, Malware, Trojaner, usw.

--

Schwerwiegender sind sogenannte Probleme die, die Plattform selber betreffen und unabhängig vom Betriebssystem sind, da Sie Design Fehler ausnützen vom Silizium, wie wir es zuletzt hatten. Da kann man nur die Plattform wechseln irgendwann
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: NDschambar
@DocAimless: Mir ging es um deine etwas merkwürdige Formulierung. Dein Argument gegen Closed Source ist, dass du dich nicht auf andere verlassen müssen willst, aber bei Open Source tust du das offensichtlich doch auch?

@_roman_: Und Sie verstehen die Foren-Kultur nicht.

_roman_ schrieb:
Schwerwiegender sind sogenannte Probleme die, die Plattform selber betreffen und unabhängig vom Betriebssystem sind, da Sie Design Fehler ausnützen vom Silizium, wie wir es zuletzt hatten. Da kann man nur die Plattform wechseln irgendwann
Zum Vergrößern anklicken....
Und dass ich solche Design Fehler ausnutzen würde ist eine Unterstellung, für die Sie sich bitte entschuldigen. Das ist eigentlich Verleumdung.

_roman_ schrieb:
Zurückkommend zu der Frage vom Tollertyp ...
Zum Vergrößern anklicken....
Ich erinnere mich gar nicht, die Frage an @_roman_ gestellt zu haben, sie war ziemlich direkt an genau eine Person gestellt. Zudem waren es ziemlich genau zwei Fragen...
 
7zip sollte auch unbedingt auf Version 23.01 aktuallisiert werden, da in den früheren Versionen diese Sicherheitslücke auch besteht.
 
Also ich möchte mich hiermit nochmals ganz ausdrücklich bei den WinRar-Programmierern bedanken, für das Programm, das mich seit vielen vielen Jahren nie im Stich gelassen hat und im Umfang für mich unübertroffen bleibt! :) Gekauft für ein ganzes Leben zum fairen Preis.
 
tollertyp schrieb:
Mir ging es um deine etwas merkwürdige Formulierung. Dein Argument gegen Closed Source ist, dass du dich nicht auf andere verlassen müssen willst, aber bei Open Source tust du das offensichtlich doch auch?
Zum Vergrößern anklicken....
Nochmal, mir geht es um das Prinzip, dass man bei Open Source immer auf den Quellcode zugriff hat, egal ob man dies zur Überprüfung dessen machen will oder um aus diesen sich das Programm selber kompilieren will.
Diese Möglichkeit gibt es bei Closed Source nicht, gerade wenn es um Sicherheit geht ist man dann immer vom Entwickler abhängig, ob er seinen Code einem Audit freigibt bei einer Firma.
Und das meinte ich mit dem "...ich vertraute lieber etwas was man überprüfen kann als was wo man sich auf andere verlassen muss..." das halt jeder, egal ob Endkunde oder Universität bzw. Sicherheitsfirma unabhängig den Code sich ansehen kann.
 
leimer schrieb:
Der einzige offizielle Distributor in Deutschland ist die Firma "Andreas Zeuner Softwareentwicklung und -vertrieb" unter https://winrar.de/
Zum Vergrößern anklicken....
Macht soweit Sinn, doch was ist mit dann mit https://www.win-rar.com ?
In dem Thread in deiner Signatur meintest du, dass die den internationalen Vertrieb und Support übernehmen.
Sind die also jetzt auch "offiziell" oder nicht? Lizenz kaufen kann ich mir ja theoretisch bei beiden für den gleichen Preis, daher die Frage.
 
prayhe schrieb:
Macht soweit Sinn, doch was ist mit dann mit https://www.win-rar.com ?
In dem Thread in deiner Signatur meintest du, dass die den internationalen Vertrieb und Support übernehmen.
Sind die also jetzt auch "offiziell" oder nicht? Lizenz kaufen kann ich mir ja theoretisch bei beiden für den gleichen Preis, daher die Frage.
Zum Vergrößern anklicken....
win.rar GmbH ist rechtlich "alles in allem" und den Resellern und Distributoren übergeordnet. Andere Firmen können mit win.rar GmbH unterschiedliche Vertriebs-Partnerschaften eingehen (auch die eben genannten), was mit entsprechenden Anforderungen und Aufgaben verbunden ist. Siehe dazu die entsprechende "WinRAR - Distribution Partnership"-Seite, auf der man das in Englisch nachlesen kann (hatte ich bereits verlinkt). Auf der Seite erfährt man, dass ein "Distributor" u. a. WinRAR in einem eigenen Online-Shop verkaufen und 1st/2nd-Level-Support anbieten muss.

Entscheidend ist, an wen du dich im Supportfall wenden möchtest, dort solltest du die Lizenz erwerben. Ich persönlich bevorzuge win.rar GmbH. Ob man die Lizenz bei win.rar GmbH erwirbt oder bei einem "untergeordneten" Distributor oder Reseller, ist technisch wurscht.
 
  • Gefällt mir
Reaktionen: prayhe
Ah verstehe, danke für die Erläuterung!
 
Neues Update:

https://www.rarlab.com/rarnew.htm

Version 6.24

1. Bugs fixed:

a) WinRAR and UnRAR.dll extraction command dereferenced a null pointer
and crashed when processing a zero length archive name
in the archive metadata stored with -am switch.

We are thankful to Radoslaw Madej from Check Point software
for reporting this issue;

b) WinRAR and UnRAR.dll extraction command overwrote extracted file
data with contents of ::$DATA NTFS alternate data stream,
if such stream was present in the archive. In this case
unpacked data size and checksum could mismatch file size
and checksum displayed in WinRAR file list. It didn't affect
file name and type, which were displayed properly.

We are thankful to Ata Hakcil for reporting this issue.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz