Schwere Sicherheitslücke in WinRAR gefunden - es wird zu Update geraten

Status
Für weitere Antworten geschlossen.

Intruder

Captain
Registriert
Juni 2011
Beiträge
3.408
Das habe ich gerade durch Zufall im Netz gefunden...

Sicherheitslücke in WinRAR entdeckt: Nutzer sollten Software dringend updaten

Die Schwachstelle trägt den Namen CVE-2023-40477. Angreifer können hier potentiell beliebigen Code auf dem Gerät aufspielen. Voraussetzung für die Ausnutzung der Lücke ist, dass der Nutzer zuvor eine bösartige Webseite oder eine bösartige Datei öffnet. Die Gefährlichkeit der Schwachstelle wird mit einem CVSS-Score von 7,8 und dem Schweregrad "hoch" eingestuft.

ich bin ja so ein "Spezi", der installiert Windows und packt irgendwann mal WinRAR drauf und dann wird das Ding nicht mehr upgedatet weil ich damit nur mal hier und da was "auspacken" will. Da hat man dann schnell veraltete oder halt potentiell "gefährliche" Software aufgrund Sicherheitslücken auf dem System, woran nicht im ersten Moment drauf kommen könnte.

Also schaut mal nach ob ihr da save seit 🙂
 
  • Gefällt mir
Reaktionen: coffee4free, xXDariusXx, coasterblog und eine weitere Person
ich empfehle einmal im monat die meistgenutzen apps auf updates zu prüfen.
nuja, viele machen das eh von selbst, es sei denn, man dreht es ab.

ich mach das immer an/nach dem patschday.
 
  • Gefällt mir
Reaktionen: Intruder
Danke für die Info.

Aber ich schaue auch selbst immer mal nach Updates. Trotzdem war das jetzt hilfreich.

Und Lücken in Software kennen viele Anbieter :)
Gut dass es gefunden wurde.
 
whats4 schrieb:
ich empfehle einmal im monat die meistgenutzen apps auf updates zu prüfen.
nuja, viele machen das eh von selbst, es sei denn, man dreht es ab.

ich mach das immer an/nach dem patschday.
Patschday ???

Neue Kreation , oder eingedeutscht ??
Patchday dann schon eher
 
  • Gefällt mir
Reaktionen: whats4
  • Gefällt mir
Reaktionen: Intruder, Drewkev und AEonVi
Auch in kostenloser, quellofffener Software gab es schon Lücken. Auch sehr kritische.

Wo man sich dann fragt wenn alle den Code sehen und prüffen können warum einige Lücken so alt waren.
Aber natürlich ist 7zip auch eine Empfehlung. Vom Workflow her bleibe ich bei WinRAR.
 
  • Gefällt mir
Reaktionen: Intruder
Ich weiß gar nicht mehr, wann ich das letzte Mal eine nicht Zip-Datei entpackt habe. In meinen Gefilden gibt es meist entweder zip oder halt tar(.gz). Und das geht ja mit Boardmitteln.
 
Alle paar Tage mal CMD(Admin) starten und einmal "winget update --all" reinhauen, so werden alle Programme, die eine neuere Version online haben, direkt geupdated.


Edit: winget upgrade --all --silent --include-unknown
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Restart001 und coasterblog
Noch besser wäre: winget upgrade --all --silent --include-unknown
 
  • Gefällt mir
Reaktionen: Restart001, Sylar, CyborgBeta und 2 andere
@Sandro_Suchti was macht denn das --silent ?

Aber ja der command ist besser.
 
Sandro_Suchti schrieb:
Noch besser wäre: winget upgrade --all --silent --include-unknown
Wird man dann (als Admin) immer noch vor jedem Upgrade um eine Bestätigung gefragt?

E: ich verwende WingetUI.
 
Was ist denn genau das Unbekannte?
--include-unknown

Den Zusatz habe ich noch nicht gesehen. Und da ich nur abschreibe weil ich mich mit Terminals nicht wirklich auskenne wäre ich um kurze Info dankbar.
 
Ach, WinRAR gibt's noch. ;) Nutze ich schon lange nicht mehr.
 
AGB-Leser schrieb:
Braucht man für winget ein Microsoftkonto? Das greift ja, wenn ich das sehe, einfach auf den Store von Microsoft zu
1692607749016.png


Ne, die Quelle wird online bezogen.
 
CyborgBeta schrieb:
Wird man dann (als Admin) immer noch vor jedem Upgrade um eine Bestätigung gefragt?
Nein, du musst nur das Terminal oder die PowerShell als Administrator ausführen
AGB-Leser schrieb:
Braucht man für winget ein Microsoftkonto?
Nein
coasterblog schrieb:
Was ist denn genau das Unbekannte?
--include-unknown
Damit werden auch Programme aktualisiert (bzw. versucht) dessen aktuelle Version unbekannt ist
 
  • Gefällt mir
Reaktionen: coasterblog und CyborgBeta
coasterblog schrieb:
Und da ich nur abschreibe weil ich mich mit Terminals nicht wirklich auskenne wäre ich um kurze Info dankbar.
Ich meine WinGet gibt es auch mit User Interface, kannst du dir mal angucken, wenn du Terminals nicht magst :)
 
  • Gefällt mir
Reaktionen: CyborgBeta und coasterblog
coasterblog schrieb:
Wo man sich dann fragt wenn alle den Code sehen und prüffen können warum einige Lücken so alt waren.
Offtopic: Selbst in Betriebssystemen (open und close sourced) und millionenfach verwendeten, sicherheitsrelevanten Bibliotheken wie openSSL werden immer wieder Lücken gefunden, die Jahre alt sind.
 
  • Gefällt mir
Reaktionen: Intruder
Status
Für weitere Antworten geschlossen.
Zurück
Oben