Sicherheit: WinRAR-Schwachstelle von mehr als 100 Exploits ausgenutzt

Im Februar wurde eine gravierende Sicherheitslücke bei WinRAR bekannt, die schon seit mindestens 14 Jahren existiert. Damit sind alle Nutzer des Programms betroffen, sofern die neueste Aktualisierung nicht installiert wurde. mehr... Sicherheitslücke, Sicherheitslücken, Packprogramm, Winrar Bildquelle: Ben Hershey Sicherheitslücke, Sicherheitslücken, Packprogramm, Winrar Sicherheitslücke, Sicherheitslücken, Packprogramm, Winrar Ben Hershey

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
@WinFuture

Gebt doch bitte auch den Tipp die UNACEV2.DLL zu löschen, wie von Rarlabs empfohlen. Ich kann z.B. durch die Lizenz nicht auf die aktuelle Version.
 
@Xeroxxx: Kopiere doch einfach in diesem, Deinem Fall einfach die betreffende Datei von Total Commander in das Verszeichnis von WinRAR, sofern Du diese Funktion brauchst!

Die UNACEV2.DLL im Verzeichnis von Total Commander 9.22 ist gepatcht.
 
@rOOts: Danke für den Tipp. Ich benötige es nicht.

Allerdings kann auch ein File eine RAR Endung haben und tatsächlich ein ACE File sein. Ich bin so auf Nummer sicher.
 
@Xeroxxx: Ich dachte WinRar ist eine Lifetime-Lizenz?
 
@Memfis: Nein. Das kommt immer darauf an wie du sie erwirbst. Du kannst auf der offiziellen Seite sicher LifeTime kaufen, ich habe eine die auf 5.50 läuft geschenkt bekommen.

Die Frage ob man WinRAR lizensiert braucht ist sicher eine Andere :D
 
Die Preisfrage: Wie kann man jetzt noch .ace entpacken. Man kann ja nicht unterscheiden, ob das .ace nun neu" ist....
 
@DRMfan^^: 7zip sollte ACE Datein erstellen und entpacken können.
 
@Kendrick: Ich find eauf die Stelle bei 7z selbst nicht, laut Wkipedia nicht https://de.wikipedia.org/wiki/7-Zip
 
@DRMfan^^: Wird zwar nicht aufgelistet aber funktioniert trotzdem. Wofür auch immer man es braucht
 
@DRMfan^^: Mit Winrar 5.70?
 
@wertzuiop123: Nein. Winrar 5.7 streicht den Support für ace.
 
@DRMfan^^: Ok danke. Bandizip vielleicht? Falls die nicht auch den Support streichen. ACE wird wohl langsam komplett verschwinden denke ich
 
@wertzuiop123: wie rOOts unten erwähnt hat der Autor von Total Commander eine gepatche Version erstellt.
 
Beim TotalCommander wird die erwähnte DLL noch benutzt.
Nur mal so als Hinweis.
 
@news1704: Diese UNACEV2.DLL wurde aber gepatcht!

Alt
--------------------------------------------------------------------------
FILEVERSION 2,6,0,0
PRODUCTVERSION 2,6,0,0
VALUE "CompanyName", "ACE Compression Software"
VALUE "FileDescription", "UNACE Dynamic Link Library"
VALUE "FileVersion", "2.6.0.0"
VALUE "InternalName", "UnAceV2.Dll"
VALUE "LegalCopyright", "ACE Compression Software, 2000-2005"
VALUE "LegalTrademarks", "ACE Compression Software, 2000-2005"
VALUE "OriginalFilename", "UnAceV2.Dll"
VALUE "ProductName", "UNACE - freeware ACE extraction component"
VALUE "ProductVersion", "2.6.0.0"

Neu
--------------------------------------------------------------------------
FILEVERSION 2,6,2,0
PRODUCTVERSION 2,6,1,0
VALUE "CompanyName", "ACE Compression Software"
VALUE "FileDescription", "UNACE Dynamic Link Library"
VALUE "FileVersion", "2.6.2.0"
VALUE "InternalName", "UnAceV2.Dll"
VALUE "LegalCopyright", "ACE Compression Software, 2000-2019"
VALUE "LegalTrademarks", "ACE Compression Software, 2000-2019"
VALUE "OriginalFilename", "UnAceV2.Dll"
VALUE "ProductName", "UNACE - freeware ACE extraction component"
VALUE "ProductVersion", "2.6.2.0"
 
@rOOts: Danke für den Hinweis!
Ich hatte noch eine ältere TC-Version drauf....
 
@news1704: Da hilft es, ab und an die TC interne Update Suchfunktion zu nutzen bzw. dauerhaft zu aktivieren oder alternativ das Herstellerboard zu besuchen ;-)
Herr Ghisler hat nämlich schnell und frühzeitig auf die oben beschriebene Problematik reagiert = es gab da eine 2.22 RC1 und eine RC2 vor der Final 22.. ist also theoretisch schon etwas länger möglich gewesen, jene gefährliche .dll loszuwerden ;-)
 
@rOOts: Danke für die Info - dann kann man ja auch die unacev2.dll von TC in Winrar < 5.7 nutzen.
 
@DRMfan^^: Ich glaube nicht! Ich glaube der Zugriff auf das ACE-Format wurde in WinRAR 5.70 kompett gestrichen, nicht nur die "UnAceV2.Dll". Müsste mal jemand ausprobieren.
 
@rOOts: Deswegen WinRAR < 5.7.
 
Ich habe von dem ACE-Format noch nie gehört. WinRAR habe ich glaube schon vor zwei Wochen auf 5.7 aktualisiert.
 
@L_M_A_O: Vor eeeewig Jahren war das auch mal was weiter verbreitet. Hab mich auch erst wieder dran erinnert, als ich davon gelesen habe. Mir ist auch schon ewig keine ACE-Datei mehr unter den Cursor gekommen. Ich meine mich nur erinnern zu können, dass man "damals" ne bessere Komprimierung erreichen konnte, aber das ist auch locker 15 Jahre her, die Hand dafür ins Feuer legen würde ich nicht ;)
 
@L_M_A_O: dazu müsstest du auch schon um 2007 rum intensiv mit PC zu tun gehabt haben, denn etwa 2005 kam das Packformat so richtig raus bzw. hatte großflachige Verbreitung und 2007 kam die letzte neue Version heraus, seitdem ist (war) jene .dll unverändert und geistert(e) immernoch durch die PC Landschaft. Konkurrierte aber immer mit zip und rar, blieb meiner Ansicht nach ein Exot und verschwand schon nen Jahr spater wieder ganz stark von der Bildfläche. Und wurde seitdem und wegen lange Jahre nichtmehr upgedatet auch genauso lang unverändert in sehr einigen Apps und Programmen verbaut, das macht(e) sie auch so gefährlich bzw. deswegen wirds nun haufenweise Updates geben (müssen) , um diese .dll überall zu modernisieren. Da so einige jener Software und App Hersteller nichtmehr aktiv sind, dürfte da dennoch was offen bleiben. Genau deswegen reiben sich ja auch diverse ach so tolle Häcker die unsauberen Hände, weil sie an nen wirklich notwendiges Sicheitsupdate ihre softwaretechnische Schweinerei dranmupfen und dadurch massenhaft verteilen können..
 
das ist nicht nur mit ace moglich sondern mit zip und rar auch. nur mal zur info
mache ich schon so seit einigen jahren
 
@kemo159: Was machst du seit Jahren?! Wird mir aus deinem post nicht klar...
 
@DRMfan^^: na selbstentpackende Archive erstellen.
 
hm so wie ich das verstanden habe geht die Lücke doch aber eh nur von manipulierten ACE-Dateien aus oder? Heißt wenn man immer nur rar-Archive entpackt besteht im Grunde gar keine Gefahr?
 
@legalxpuser: Wenn eine *.ace-Datei ein *.rar umbenannt wurde, wird die ace-dll aktiv.
Wird am Header des Archivs erkannt.
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte