ComputerBase Menü
Aktuelles

Sicherheitslücke 7-Zip (.zip & AES-256)

  • Ersteller Ersteller ser-olfric
  • Erstellt am Erstellt am
S

ser-olfric

Gast
Hallo zusammen,

ich habe herausgefunden, dass 7-Zip eine immense Sicherheitslücke hat:

Legt man ein Passwortgeschütztes Archiv mit der Endung ".zip" und dem Verschlüsselungsverfahren "AES-256" an oder wandelt bereits bestehende Ordner in ein solches um und versucht dieses mit dem Windowsinternen Entpacker zu entpacken, kann man die ganzen geschützten Elemente einfach überspringen.

Sobald alle Elemente übersprungen wurden, findet man einen .zip-Ordner, welcher immernoch geschptzt ist und einen entpackten Ordner, in welchem nun alle Datein zugänglich sind, ohne dass man ein Passwort eingeben musste.

Bei dem Verschlüsselungsverfahren "ZipCrypto" klappt das nicht. Bei dem Archiv ".7z" auch nicht. Nur wenn man ".zip" mit "AES-256" wählt und ein Passwort eingibt, kann der ganze Schutz trotz allem einfach so umgangen werden, was meiner Meinung nach ein sehr großes Sicherheitsrisiko ist.

Edit:
Bei ZipCrypto funktioniert das in sofern nicht, dass alle Ordner nach dem Überspringen der geschützen Dateien einfach leer sind. Also wenn man auf diese Art ein Archiv angelegt hat (im .zip Format mit Zipcrypto) kann man zwar mit dem internen Entpacker das Archiv entpacken und alles überspringen, aber die Ordner sind dann leer. Somit hat man nur leere Ordner ohne Dateien. Nur mit Passwort bekommt man die Datein, wie es sein soll.
 
Ich kann das so nicht nachstellen. Hab mit 7-Zip 19.00 ein *.zip Archiv (Normal) mit AES-256 und einem Passwort erstellt. Der Windows-Entpacker hat einen leeren Ordner hinterlassen.
Welche Version hast du und welche genauen Einstellungen hast du vorgenommen?

EDIT: Kann es sein, dass du einen Ordner gepackt hast und diesen dann wieder entpackt hast (bzw. wolltest) und somit in den originalen Ordner geschaut hast?
 
  • Gefällt mir
Reaktionen: piepenkorn und azereus
  • Gefällt mir
Reaktionen: BalthasarBux und OlafGER
Habe den Test unter der Portable Version und der neusten Version 20.00alpha gemacht.
 
Ja, den Fehler kann ich verifizieren. Halt den Entwickler benachrichtigen.
 
dann reteste das bei dir einmal ohne portable und ohne alpha
19.00 ist hier die aktuellste
tritt es hier nicht auf ist es ein fehler in der alpha
 
Mit der installierten Version 20.00a kann ich es nicht nachstellen.
 
Jo, ist ein Fehler in der 19.00 Alpha, finde ihn gravierend. Ist halt ne Alpha...
Ergänzung ()

SLI-Ready™
In der 20.00 Alpha ist er auch vorhanden. Genau so nachgestellt wie der TE es beschrieben hat.
 
OlafGER schrieb:
Jo, ist ein Fehler in der 19.00 Alpha, finde ihn gravierend. Ist halt ne Alpha...
Ergänzung ()

SLI-Ready™
In der 20.00 Alpha ist er auch vorhanden. Genau so nachgestellt wie der TE es beschrieben hat.
Zum Vergrößern anklicken....
OK? Ich kann es wie gesagt nicht nachstellen. Hab allerdings die installierte Version, nicht portable.
 
Ist hier per installierter 7-zip Version 19.00 nachstellbar.

Fuer mich ist das ein Bug, dass wenn die Windowseigene Zipentpackfunktion das Archiv entpacken soll nicht nach dem Passwort fragt. Hier waere zu klaeren ob das 7-Zip angeht oder eher Microsoft.

Das da nach Doppelklick Dateinamen/Ordner zu sehen sind ist so schlimm nicht. Kann man eh nix anfangen mit, da nicht entpackt/entpackbar.

BFF

@SLI-Ready™
Versuch das Entpacken der Zip auf einer Maschine ohne 7-Zip.

Und das ist ein Windows-Fehler. @ser-olfric Windows fragt nicht nach dem Passwort, wenn das Archiv mit AES256 verschluesselt ist.
Unter einem Linux-Mint wird nach dem Passwort gefragt bei der Zip mit AES256.

1591208563193.png


Unter W7/10 nur wenn mit ZipCrypto die ZIP erstellt wurde. Kann es aber dennoch nicht entpacken.

1591208977806.png
1591209172366.png
 
Zuletzt bearbeitet:
Und die Inhalte der Dateien habt ihr auch verglichen?

Und irgendwie gelingt mir das nicht. Der entpackte Ordner ist bei mir leer.
 
Zuletzt bearbeitet:
BFF schrieb:
Und das ist ein Windows-Fehler. @ser-olfric Windows fragt nicht nach dem Passwort, wenn das Archiv mit AES256 verschluesselt ist.
Zum Vergrößern anklicken....

Wenn das stimmt, was beschrieben wird (ich habs nicht ausprobiert), dann ist das kein Windows-Fehler. Ein verschlüsseltes Archiv darf ohne Passwort nicht entpackt werden können, egal unter welchem Betriebssystem.

Außer Windows hält das Passwort nach dem Verschlüsseln noch in irgendeinem Cache, dann wäre tatsächlich Windows für den Fehler verantwortlich - dann könnte man das Archiv aber zumindest nicht ohne Passwort auf anderen Rechnern entpacken.
 
  • Gefällt mir
Reaktionen: DJServs und BeBur
Aus meiner Sicht ist das beschriebene Verhalten wenn dann ein Fehler in Windows, ja.
Ich zweifle nur immer noch daran, dass es wirklich so ist.

Welche Windows-Versionen habt ihr denn verwendet?
Bei meinem Hauptrechner hab ich keine ZipFolder-Erweiterung drin, teste deshalb gerade in einer VM mit 1809 und dort bekomme ich nicht mal den "Überspringen"-Dialog angezeigt wenn ich AES verwende.
 
Es wird auch nicht entpackt. Es bricht mit Fehler ab. @drunk_chipmunk
Das Einzige was Du siehst sind die Dateinamen oder Ordnernamen. Das liegt aber am Zip-Format selbst, das unterstuetzt hat nicht das verschluesseln von Datei/Ordnernamen wie andere Archive.

@tollertyp
W7, W10 1909, 2004 und letzte Insider. Und &-Zip Version 19.00 64-bit.

Ich meine aber, dass irgendwann in der Vergangenheit das mal funktioniert hat mit dem Oeffnen von kennwortgeschuetzten Zip.
 
Ach ich biete einfach mal eine Datei an, bitte den Inhalt posten.

@BFF: Angeblich sieht man doch den Inhalt?
"und einen entpackten Ordner, in welchem nun alle Datein zugänglich sind, ohne dass man ein Passwort eingeben musste."
Oder was ist mit "zugänglich" sonst gemeint?
 

Anhänge

Nope. Ich seh nur Dateinamen/Ordnernamen. Keine Inhalte.
Wenn es an das "Entpacken" kommt, wenn Doppelklick oder so, kommt hier die Fehlermeldung.

1591211086318.png


Eben gerade mal mit WinRAR ein ZIP mit Passwort erstellt. Exakt das Verhalten wie mit der ZIP per 7-Zip.

Fuer mich ist das ein Windows-Fehler.

Hier das Ergebnis Deiner Zip @tollertyp

1591211354548.png

Ein Skip bringt rein nix ausser einen leeren Ordner.
.
 
Ja, dass die Dateinamen sichtbar sind ist ja keine Sicherheitslücke sondern ein Problem im Zip-Dateiformat.

Wo ist da ein Fehler von Windows? Die Dateinamen sind unverschlüsselt in der Datei.
1591211786995.png


Aber mir ist noch nicht klar, ob der TE das als die Sicherheitslücke bezeichnet, weil aus meiner Sicht behauptet er, die Dateien würden entschlüsselt.
 
Was fuer mich (und einige Andere im Feedback-Hub) der Windows-Fehler ist steht im Post #10.

Zip mit AES -> Keine Passwortabfrage/Kein Entpacken
Zip mit ZipCrypto -> Passwortabfrage/Fehlermeldung

BFF
 
  • Gefällt mir
Reaktionen: tollertyp
Ach okay ja, die fehlende Möglichkeit ein Passwort zum Entpacken einzugeben bei einem AES-Archiv, ja, da bin ich bei dir, das ist ein Fehler.
Kann halt aber auch sein, dass Windows AES in Zip gar nicht unterstützt? Keine Ahnung, wie gesagt, ich nutze das nie und schalte die Erweiterung auch immer asap ab.
 
  • Gefällt mir
Reaktionen: BFF
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

tusen_takk
Verschlüsselung mit 7-Zip: Frage zu Drag and Drop im Archiv
Antworten
9
Aufrufe
1.412
tusen_takk
tusen_takk
nschlichtmann
Batch Datei für 7-Zip
Antworten
6
Aufrufe
4.615
wupi
wupi
S
Wie zukunftssicher ist 7-Zip?
2 3 4
Antworten
69
Aufrufe
9.750
orodigistan
O
Jan
Notiz Packprogramm: 7-Zip vor Version 18.05 enthält eine schwere Sicherheitslücke
2
Antworten
25
Aufrufe
14.543
vander
V
L
Verschlüsseln mit 7-Zip
2
Antworten
20
Aufrufe
5.271
Sebbi
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz