Notiz Packprogramm: 7-Zip vor Version 18.05 enthält eine schwere Sicherheitslücke

[Edward Newgate]

Von der SHA256 Checksumme sind auch die 16.04er auf der .de und .org Seite Deckungsgleich.

 

[powerfx]

Der Born Blog Eintrag ist einfach nur behämmert.

Das sind die Quellen:



Aber er schreibt auch

Und Sicherheitsthemen sind nicht so wirklich meine Baustelle [...]

Deswegen einfach nicht zu ernst nehmen.

 

[lash20]

also wie jetzt !? erstmal große klappe und dann sowas. Das ist ja wie Propaganda.
Kriegt er Geld von dem Verlag, dass was er da erzählt ?

Gruß lash20

 

[engine]

Günter Born ist Autor, darunter für MUT. Ja und?

Günter Born (geb. 1955) absolvierte nach Lehre und zweitem Bildungsweg ein Ingenieurstudium. Während seiner 14 jährigen Industrietätigkeit als Projektingenieur, Projektleiter und Software-Entwicklungsleiter studierte er nebenberuflich mehrere Semester Informatik, Mathematik, Wirtschaftswissenschaften und Elektrotechnik. In diese Zeit fallen auch mehrere Arbeitsaufenthalte in Japan und Thailand. Günter Born schreibt seit 1985 (davon seit 1993 auf freiberuflicher Basis) zu Windows, Office, Linux, HTML und weiteren IT-Themen. Mehrere englischsprachige Werke (Windows-Registrierung, Windows Script Host) hat er direkt bei Microsoft Press USA veröffentlicht. Beim Microsoft Windows 98 Ressource Kit war Born Contributing Autor zum Thema Windows-Registrierung. Weitere Titel wurden in verschiedene Sprachen übersetzt und teilweise weltweit vertrieben. Das Spektrum seiner Erfolgstitel reicht vom Computerbuch für Kinder (PC für Kids von 8 bis 88) über Einsteigerbücher für Computeranfänger (Computer ganz leicht, Markt+Technik Reihen Easy, Bild-für-Bild) bis hin zu Insiderwerken. Zudem wurde von ihm im Bereich "Computerliteratur für Senioren" eine eigene Buchreihe "Leichter Einstieg für Senioren" konzipiert. Dort fließen u. a. seine Erfahrungen als ehrenamtlicher Trainer von Seniorencomputerkursen ein.

Man muss sich mal den Artikel unten gründlich durchlesen und wenn man ihn nicht versteht, einfach die Klappe halten und nicht Unsinn auf Kosten anderer hier schreiben.

https://www.borncity.com/blog/2018/02/20/warnung-auf-7-zip-verzichten/

Das Kernproblem bei 7-Zip
...
Pavlov weigerte sich jedoch, /DYNAMICBASE zu aktivieren. Hintergrund: Er zieht es, nach Aussagen des Entdeckers der oben genannten Sicherheitslücken, vor, die Binärdateien ohne Relocation-Tabelle zu erstellen, um eine minimale Binärgröße zu erreichen. Außerdem will er /GS nicht aktivieren, da es die Laufzeit und die Binärgröße beeinflussen könnte. Und es findet sich die Information, dass Pavlov versuchen will, zumindest das Flag /NXCOMPAT für die nächste Version von 7-Zip zu aktivieren. Anscheinend ist es derzeit nicht aktiviert, da 7-Zip mit einem veralteten Linker verknüpft ist, der das Flag nicht unterstützt.

Sprich: Der Autor des Werkzeugs setzt irgendwelche veralteten Entwicklungstools ein und will ein paar Bytes im Tool auf Kosten der Sicherheit sparen.

 

[AthlonXP]

neue version
https://sourceforge.net/p/sevenzip/discussion/45797/thread/f1a142fa03/

 

[vander]

Nur um es mal zu erwähnen, das Problem ist laut Artikel bereits in 18.05 gefixt.