Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat für das beliebte Dateiarchivierungsprogramm WinRAR, das zur Komprimierung und zum Entpacken von Archiven benutzt wird, eine Warnung herausgegeben. Alle Versionen vor Version 6.20 enthalten eine Sicherheitslücke, die es Angreifern erlaubt, einen Denial-of-Service-Angriff auszuführen. Die Software sollte daher schleunigst auf den neusten Stand gebracht werden: WinRAR 6.20 Final Release jetzt downloaden.
Das BSI schreibt in der Warnung: “Ein entfernter, anonymer Angreifer kann eine Schwachstelle in WinRAR ausnutzen, um einen Denial of Service Angriff durchzuführen.” Der Sicherheitshinweis erhielt die Risikostufe niedrig. Das Problem bei der Pack-Programm WinRAR ist dabei eher dessen enorme Verbreitung, die Software zum Erstellen und Entpacken von Archiven im RAR- oder ZIP-Format ist auf etlichen PCs weltweit installiert.
Sicherheitslücke führt zur Offenlegung sensibler Daten
Geschlossen wurde die Sicherheitslücke bereits am 15. Dezember 2022 mit Version 6.20 Beta 3, wie Sie aus den Release-Notes dieser Version entnehmen können. Gefunden wurde die Sicherheitslücke von der “Zero Day Initiative”, die den Fehler schnell an den Entwickler weitergaben.
Die ZDI machte klar, dass das Problem entfernten Angreifern die Offenlegung sensibler Informationen auf betroffenen Installationen von WinRAR ermögliche. Um diese Sicherheitslücke als Angreifer letztendlich ausnutzen zu können, ist eine Benutzerinteraktion erforderlich, etwa durch den Besuch einer speziellen Seite oder durch das Öffnen einer bösartigen Datei.
Der spezifische Fehler besteht in der Analyse von ZIP-Dateien. Durch manipulierte Daten in einer ZIP-Datei kann ein Lesevorgang über das Ende eines zugewiesenen Puffers hinaus ausgelöst werden. Ein Angreifer könne dies in Verbindung mit anderen Sicherheitslücken ausnutzen, um beliebigen Code im Kontext des aktuellen Prozesses auszuführen.
Problem mit neustem Update behoben
Mit dem neuesten Update, das neben Neuerungen eben auch Schwachstellen des Pack-Programmes schließt, sollte die Sicherheitslücke ausgemerzt sein. Den Final-Release der Version 6.20, die am 23. Januar 2023 erschien, erhalten Sie auf der offiziellen Webseite des Entwicklers, hier: