News Sicherheit: WinRAR kann gefährliche SFX-Archive erzeugen

[Aslo]

Sehe auch keinen Grund, was anderes als 7zip zu verwenden.

-> Offiziell kostenlos und keine share-/freeware
-> open source
-> Beste Komprimierung
-> Beste Bedienung
-> Im Zweifel kann die Kompatibilität gewährleistet werden, indem man als Format .zip wählt
-> Kommandozeilentool enthalten

 

[Cool Master]

@Mextli

Und dein Programm kann keine Zip erstellen?

 

[JAIRBS]

Ich bleib dabei es gibt nur 3 bzw. 4 Formate welche man wirklich benötigt: zip rar tar(.gz)

Im Grunde hast Du recht. Aber bei mir im gesamten technischen Umfeld benutzt jeder 7Zip und daher ist *.7z hoch im Kurs.

​Ist zwar etwas Off-Topic, aber gibt's einen Grund, der, trotz der jetzt negativen News, für WinRAR und gegen 7Zip oder andere freie Archivprogramme spricht?

 

[ramen]

Kann es nicht da es sofort von meiner Firewall geblockt wird, damit ist das laden eines Exploits über das HTML-Schnipselchen nicht möglich.

Warum es (automatisch) blockiert wird?

Common. Sense. 2015.

Was hat ein dummes Packprogramm im Internet verloren? Richtig. Nichts.

 

[max_1234]

Verstehe die News nicht, soweit ich mich erinnere war das mit WinRAR schon immer möglich?
Edit: Na gut, nicht in der Form

SFX ist aber so oder so gefährlich, weil man nach dem augenscheinlichen "Entpacken" automatisch was ausführen kann.
Hilft nur Rechtsklick - Mit XYZ öffnen und selbst entpacken.

mfg,
Max

 

[FUSION5]

​Ist zwar etwas Off-Topic, aber gibt's einen Grund, der, trotz der jetzt negativen News, für WinRAR und gegen 7Zip oder andere freie Archivprogramme spricht?

Es gibt meines Wissens nach noch (mindestens) 2 Funktionen, die Winrar bietet und 7zip nicht: Recovery Records (bei Archivdaten nicht uninteressant) und die Möglichkeit die Input-Dateien bei erfolgreicher Kompression automatisch zu löschen.

 

[berndy2001]

Der Entwickler sagt folgendes:

In other words, instead of that complicated proof of concept video,
it would be simpler to place putty.exe into RAR SFX archive
and add following commands to archive comment:

Setup=putty.exe
Silent
Overwrite

 

[leckerKuchen]

sfx ist ja nicht das Problem, nur im Zusammenspiel mit Winrar, wenn ich das richtig gelesen habe. Aber wozu, wenn 7zip bisher alle schlägt im Bereich Bedienung, Geschwindigkeit und Kosten.

Das letzte Mal als ich nachgesehen habe war 7zip langsamer als Winrar. Hat sich da was getan?

 

[anonymous_user]

Das letzte Mal als ich nachgesehen habe war 7zip langsamer als Winrar. Hat sich da was getan?

Also entweder du hattest Tomaten auf den Augen oder du sprichst einzig allein vom .rar Format. 7Zip ist in allen Disziplinen besser, Kompressionsrate, Geschwindigkeit, und das bei nahezu allen Formaten die es gibt.

 

[ottoman]

Das Thema wird hier sinnlos aufgebauscht, ich denke die News hat ein Update verdient. Siehe Kommentar des Entwicklers: http://www.heise.de/forum/heise-Sec...Der-Programmierer-sagt/posting-23755235/show/

Ergänzung (28. September 2015)

Also entweder du hattest Tomaten auf den Augen oder du sprichst einzig allein vom .rar Format. 7Zip ist in allen Disziplinen besser, Kompressionsrate, Geschwindigkeit, und das bei nahezu allen Formaten die es gibt.

Ich dachte mit RAR5 sieht es wieder anders aus? http://artikel.de.softonic.com/winrar-5-vs-winrar-4-vs-7-zip-das-kann-rar5

 

[anonymous_user]

Ich dachte mit RAR5 sieht es wieder anders aus? http://artikel.de.softonic.com/winrar-5-vs-winrar-4-vs-7-zip-das-kann-rar5

Ja, mit dem "Hauseigenen" Format gehts schneller mittlerweile wie ich sehe(Wobei das auch nach Test variiert). Aber RAR5 lässt sich auch fast nur mit Winrar entpacken/packen, 7Zip beherscht es glaub ich mittlerweile auch. Allerdings muss man sagen, ein Umfangreicher Test wäre mal wieder was, wie 7zip und Winrar in Ihrer Aktuellen Version in unterschiedlichen Formaten abschneiden!

 

[Mort626]

Aber wieso lässt sich das nicht mehr fixen?

 

[Smagjus]

Aber RAR5 lässt sich auch fast nur mit Winrar entpacken/packen, 7Zip beherscht es glaub ich mittlerweile auch.

Jup, die Beta kann damit umgehen.

 

[Jesterfox]

Aber wieso lässt sich das nicht mehr fixen?

Weil man niemanden daran hindern kann zum erstellend er SFX die alte Version zu nutzen. Das "Problem" steckt ja dann in dem SFX. Wobei es eigentlich gar kein Problem speziell dieser "Lücke" ist, da eine EXE eh alles auf dem PC anstellen könnte was sie will... dazu muss sie keine mit einem alten WinRAR erstellte SFX sein.

 

[Der Landvogt]

Sehe auch keinen Grund, was anderes als 7zip zu verwenden.

Bringt dir halt bei einem SFX-Archiv auch nichts.

 

[Jesterfox]

Ist nicht gesagt, oft lassen sich auch SFX per 7zip (oder anderem Archivierer) direkt öffnen. Man muss aber erst auf die Idee kommen das so zu probieren ;-)

 

[serval]

Ich verstehe das Problem nicht.

Ein Angreifer kann ein selbstextrahierendes rar-archiv mit Namen irgendwas-archiv.exe bauen das Schadcode ausführt.
Aber kann ein Angreifer nicht einfach auch wie bisher seine virus.exe umbenennen in irgendwas-archiv.exe mit dem gleichen Ergebnis, daß ein Anwender, der die Datei ausführt, danach den Virus hat?

Da ändert sich doch für den Anwender de facto nichts?

 

[ottoman]

Ja, für den Anwender macht das keinen Unterschied. Deswegen ist es hier auch Quatsch, von einer "Sicherheitslücke" zu reden. Siehe auch den Kommentar des WinRar Entwicklers: http://www.heise.de/forum/heise-Sec...Der-Programmierer-sagt/posting-23755235/show/

 

[DOCa Cola]

Da ändert sich doch für den Anwender de facto nichts?

Ganz genau. Exe dateien aus dubiosen quellen können Gefährlichen code enthalten. Es egal ob man WinRar, 7zip oder garkeinen Entpacker einsetzt. Das alles hat damit garnix zu tun. Der sinn einer selbstextrahierenden Datei ist eben, dass man dazu keinen Entpacker braucht. Ein von 7zip oder WinRar erstelltes "SFX Archiv" (.exe Datei) enthält also Code um das an die ausführbare Datei angehängte Archiv zu entpacken. Wie ein einfaches Setup Programm das auch macht.

Normale .rar archive haben kein Sicherheitsproblem. Es betrifft nur die selbstextrahierenden .exe dateien die mit Winrar erstellt werden können. Und kein Malware Entwickler wird ernsthaft damit anfangen diesen Bug jemals so auszunutzen. Malware Entwickler konnten schon immer beliebigen Schadcode an jede ausführbare Datei anhängen oder gleich eine komplett schädliche .exe Datei selbst erstellen. Dieser ganze "Sicherheitsbug" ist also nur lächerlich. Als Sicherheitsforscher wäre ich nichtmal auf die Idee gekommen da nach einem Sicherheitsproblem zu suchen, da es völlig irrelevant ist ob dort einer existiert oder nicht.

Zudem gibt es gefälschte SFX Archive schon lange. Das sind einfach .exe Dateien denen das typische Icon eines WinRar oder 7zip SFX gegeben wird, obwohl es sich eben gerade nicht um ein solches handelt. Das ist gang und gäbe und nur eine der vielen Methoden wie versucht wird jemandem Schadcode unterzujubeln. Eine .exe Datei ist dabei noch das offensichtlichste.

 

[Petrocelli]

Im Heise-Forum gibt's ne Antwort-Mail von nem Entwickler,

"Ein Entwickler" ist gut. Eugene Roshal ist der Winrar-Head. Oder für Spieler: Der Endgegner