Winrar: Gefälschte Ausgaben unter Linux möglich und MotW-Probleme in Windows
Die Version 7.00 der Archiv-Software Winrar schließt auch Sicherheitslücken. Unter Linux lassen sich Ausgaben fälschen, in Windows MotW-Markierungen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Winrar 7.00 wurde schon vor einigen Wochen veröffentlicht. Die neue Version schließt Sicherheitslücken, die Angreifer etwa zum Fälschen von Ausgaben in der Linux- oder Unix-Kommandozeile missbrauchen können. Zudem gab es in vorherigen Versionen Probleme bei der Mark-of-the-Web-Markierung von Dateien unter Windows.
Rarlab Winrar vor Version 7.00 unter Linux und Unix ermöglicht Angreifern, mit ANSI-Escape-Sequenzen die Bildschirmausgaben zu fälschen oder einen Denial-of-Service zu provozieren, lautet die Schwachstellenbeschreibung im jetzt veröffentlichten CVE-Eintrag (CVE-2024-33899, kein CVSS-Wert, keine Risiko-Einstufung). Im Changelog zu Winrar 7.00 erläutern die Entwickler konkreter, dass die Konsolenversion von rar nun das ASCII-Zeichen 27 (Escape, oder auch öfter in der Konsole als ^[ zu sehen) aus der Bildschirmausgabe filtert. Dies geschehe aus Sicherheitserwägungen. Wie ein DoS-Angriff aussehen könnte, erklären die Entwickler jedoch nicht.
Winrar: Probleme mit Mark-of-the-Web (MotW)
Es war zudem möglich, die Mark-of-the-Web-Markierung zu überschreiben, die vom Archiv an extrahierte Dateien übertragen wird, und die Sicherheitszonen-Informationen mit einem speziell präparierten .rar-Archiv zu verändern, schreiben die Winrar-Programmierer im Changelog. Die Mark-of-the-Web-Markierung soll als Sicherheitsfunktion dienen. Beim Öffnen damit markierter Office-Dateien gibt Microsoft Office etwa Warnungen aus und aktiviert den nur-lesen-Modus. Bei ausführbaren Dateien soll Windows warnen, dass die Datei unsicher sein könnte, da sie aus dem Internet stammt.
Betroffen ist lediglich die GUI-Version von Winrar, die unrar.dll-Bibliothek verarbeitet MotW-Informationen demnach gar nicht. Schwachstellen bei dem MotW-System sind immer wieder Bestandteil etwa der Microsoft Patchdays. Im November 2022 musste Microsoft bereits aktiv ausgenutzte Lücken im MotW-System korrigieren.
Wer Winrar in Windows oder rar in Linux oder anderen Unix-Dialekten nutzt, sollte daher auf die Version 7.00 oder neuer aktualisieren. Sie stehen etwa auf der rarlabs-Download-Seite zum Herunterladen bereit.
Im vergangenen August wurden bereits Sicherheitslücken in Winrar bekannt. Teils wurden sie bereits seit dem April von Cyberkriminellen missbraucht. Die Version Winrar 6.23 hatte die Schwachstellen ausgebessert. Etwas später stellte sich heraus, dass auch staatlich gestützte Cybergangs die Lücken angegriffen haben, wie Googles TAG-Team berichtete.
(dmk)