News

Neues von rarlab

WinRAR KeyDriveSeit wenigen Minuten bieten wir auf www.winrar.de ein schickes Extra zur Lizenz an.
Für weniger als 3,50 Euro Zuzahlung zur Lizenz gibt’s das „WinRAR KeyDrive“ mit vielen RAR- und WinRAR-Versionen, WinRAR unplugged 3.91 sowie Lizenzschlüssel und -urkunde versandkostenfrei per Post.
Und obwohl bisher Online-Bestell­möglichkeiten fehlen, sind schon die ersten Be­stellungen per Mail eingetroffen – WOW! Vielen Dank!
Ich denke, wir werden schon bald in Hong Kong nachordern müssen…
Schlüsseletui
Und weil auch deswegen schon nachgefragt wurde – das abgebildete Schlüsseletui aus Hanf und Baumwolle gehört nicht zum Lieferumfang. Es kommt von Bio-Textilien im Allgäu und Sie können es (neben vielen anderen empfehlenswerten Produkten) hier bestellen.

WinRAR 5.30

WinRAR 5.30 d

Super-Symbolfoto (fotolia.de)

Heute ist WinRAR 5.30 erschienen, zeitgleich mit der englischen Originalversion. „Vielen Dank!“ an den schnellen Übersetzer.
Eine Auflistung aller Neuerungen finden Sie auf der WinRAR-Webseite.
Wie gewohnt können Sie ohne zusätzliche Kosten und sehr einfach auf die neue Version umsteigen: Installieren Sie WinRAR 5.30 über die vorhandene Version. Ihre Lizenzinfos bleiben dabei erhalten.

Damit sind auch dieses Jahr wieder zwei neue Versionen erschienen. Es müssten jetzt etwa 50 große und kleinere Updates in 20 Jahren zusammengekommen sein – die zahlreichen öffentlichen Betaversionen nicht mitgerechnet.

Alle verfügbaren Downloads (auch für andere Betriebssysteme) finden Sie hier.

Welcome to the 107th edition of the WinRAR Newsletter! […]

Content: False Alert, no patches for WinRAR are needed!


Dear WinRAR User,

Our organisation and our work on WinRAR have recently become victim of false accusations and exaggerations in unqualified reports globally from authors in several media channels including some reputable media sites. News and alerts are in circulation regarding supposed security threats for WinRAR called „SFX archive vulnerability“, „WinRAR zero day exploit“, „Mohammad-Reza-Espargham Full Disclosure“ or „WinRAR’s MS14-064 problem“ and falsely claiming to put all WinRAR users in danger.

These reports are simply false alerts and have nothing to do with WinRAR itself, but are merely a replication of problems known to exist on systems that are already vulnerable before WinRAR is being used on those flawed systems. We are currently asking the media and security companies who spread these alerts to correct them quickly.

Some responsible authors and media channels have already corrected their alerts, but it is impossible to reach them all at once and we expect these false news to spread and possibly be accelerated through additional false reports. We would like to especially mention that many of the security sites and magazines appear to be blindly copying information about this issue. Many articles say that „We asked WinRAR to comment“ but in fact we received only a few emails from merely a couple of responsible journalists who contacted us themselves.

[…]


1. Supposed WinRAR self-extracting (SFX) vulnerability

As reported by seclists.org/fulldisclosure/2015/Sep/106, it is possible to create SFX archives with a specially crafted HTML text, which -if started as executable- will download and run an arbitrary executable on a user’s computer.

The entire attack is based on vulnerabilities in Windows OLE MS14-064 which have already been patched in November 2014. If you have not installed this patch for some reason it is strongly recommended to install it. It is important for the security of your entire system and is not a WinRAR specific issue. Without this patch any software utilizing MS Internet Explorer components including Internet Explorer itself may be vulnerable to specially crafted HTML page allowing code execution.

The WinRAR SFX module displays HTML in its start dialog so it is affected too, like a huge number of other tools. This issue does not create any new risk factors for SFX archives. Being an executable file, SFX archives already can do everything that can be done with this MS14-064 vulnerability. SFX archives can run any local executable or download and run a remotely stored executable utilizing the official SFX module „Setup“ command. This feature is required for software installers. Regardless of discussed Windows vulnerability -as for any .exe file- users should run SFX archives only if they are sure that such archive has been received from a trustworthy source. […]

 

NEWSLETTER SERVICE
Marienstrasse 12, 10117 Berlin, Germany
newsletter@win-rar.com (mail) www.win-rar.com (web)

win.rar GmbH -the official publisher of RARLAB products- handles all support, marketing and sales related to WinRAR & RARLAB.COM.

Den kompletten Text des Newsletters können Sie hier im PDF-Format laden.
Hier finden Sie die Stellungnahme von Eugene Roshal, dem Chefprogrammierer.
Beide Texte sind zur Veröffentlichung freigegeben.
Sie liegen nur in englischer Sprache vor. Wenn Sie Fragen dazu haben, melden Sie sich gern telefonisch.

Sicherheitslücke: Gefährliche Archive mit WinRAR erzeugen

Heute Vormittag wurde ein Video auf YouTube veröffentlicht, in dem gezeigt wird, wie ein mit WinRAR erstelltes selbstextrahierendes Archiv Schadsoftware von einem Server laden kann. Das c’t-Magazin hat uns um 11:58 Uhr eine Stellungnahme gebeten. Bevor die Stellungnahme erfolgen konnte, wurde dieser Artikel auf heise.de veröffentlicht (12:55 Uhr).

Die Stellungnahme von Eugene Roshal (rarlab) erreichte uns um 13:49 Uhr. Wir haben sie im Original im Kommentarbereich zum Artikel veröffentlicht. Der selbe Text findet sich inzwischen auch auf der rarlab-Seite.

Kurze Zusammenfassung: Ein mit WinRAR erstelltes selbstextrahierendes Archiv kann Programme ausführen. Das ist eine erwünschte Eigenschaft; damit lassen sich z.B. Setup-Routinen für eigene Programme selbst erstellen. Leider lässt sich diese Fähigkeit auch missbrauchen und es kann Schadsoftware beim Anwender ausgeführt werden. Dieses Risiko besteht aber bei jedem ausführbaren Programm (insbesondere, wenn es unbekannter Herkunft ist) und dafür braucht der Angreifer eigentlich nicht die im Video gezeigten Umwege.

Wenn Sie eine mit WinRAR erstellte ausführbare Datei erhalten (erkennbar meist an dem unten abgebildeten Symbol, drei Bücher im gelben Karton) und über Herkunft und Vertrauenswürdigkeit im Zweifel sind, klicken Sie mit der rechten Maustaste darauf und wählen „Mit WinRAR öffnen“. Sie können dann den Inhalt einsehen und beurteilen, bevor Sie die Datei ausführen.

SFX-Archiv öffnen

Normale RAR-Dateien sind von dem „Problem“ nicht betroffen.

Nachtrag: Auch golem.de berichtet um 16:21 Uhr (etwas differenzierter) über die Problematik.
2. Nachtrag: heise.de hat den Artikel angepasst und „entschärft“. Es handele sich nicht um eine Sicherheitslücke.

08.10.2015: Einige Magazine gestehen ein, falsch berichtet zu haben – und bitten um Entschuldigung. Ein Beispiel finden Sie hier (PDF). Darüber berichten wiederum andere (PDF).

Malwarebytes: „Users of WinRAR have nothing to worry about as they are not being targeted nor is the WinRAR product itself malicious or allowing malicious files to be run on the system.“ (07.10.2015)

WinRAR 5.21 ist erschienen!

  1. Die Optionen der Gruppe „Drag&Drop-Kontextmenü“ im Dialog „Einstellungen/Integration/ Kontextmenüeinträge“ können verwendet werden, um die Befehle zum Archivieren und Packen im Kontextmenü zu deaktivieren, das nach dem Drag&Drop von Dateien mit rechten Maustaste angezeigt wird.
  2. Existiert die Datei winrar.ini im selben Verzeichnis wie der WinRAR-Installer, so wird diese winrar.ini nach dem Abschluss der Installation in das WinRAR-Programmverzeichnis kopiert.
  3. In vorherigen Versionen konnte es manchmal passieren, dass bei der Erstellung von RAR-Volumen die Größe der Volumen ein wenig kleiner war als gewünscht. Das tritt nun weitaus weniger häufig auf. In den meisten Fällen sind die erstellten Volumen so groß wie vom Anwender angegeben.
  4. WinRAR entpackt nun standardmäßig symbolische Links, die einen absoluten Pfad im Link-Ziel haben, nicht mehr. Sie können das Erstellen solcher Links mit der Option „Absolute Pfade in symbolischen Links erlauben“ im Dialog „Entpacken: Zielverzeichnis und Optionen – Erweitert“ oder mit dem Schalter -ola in der Befehlszeile aktivieren.
    Solche Links, die auf Verzeichnisse außerhalb des Zielverzeichnisses beim Entpacken verweisen, können ein Sicherheitsrisiko darstellen. Aktivieren Sie das Entpacken solcher Links nur, wenn Sie sicher sind, dass der Inhalt des zu entpackenden Archivs sicher ist, wie z. B. Ihre eigenen Backups.
  5. Behobene Fehler:
  • WinRAR 5.20 präsentierte dem Anwender überflüssige Anforderungen von erhöhten Rechten durch die Benutzerkontensteuerung, wenn eine ausführbare Datei aus einem Archiv gestartet wurde, das sich in einem durch die Benutzerkontensteuerung geschützten Verzeichnis befand. Da in diesem Fall nichts in das Verzeichnis entpackt wird, in dem sich das Archiv befindet, ist die Anforderung von erhöhten Rechten durch die Benutzerkontensteuerung nicht notwendig;
  • WinRAR konnte bisher nur beim Entpacken von RAR- und ZIP-Archiven Dateien mit gesetztem „Schreibgeschützt“-Attribut überschreiben. Nun ist das auch bei allen anderen durch WinRAR unterstützten Archivformaten der Fall;
  • „Vergangene Zeit“ und „Verbleibende Zeit“ wurden falsch angezeigt, wenn der Befehl „Konvertieren“ auf mehrere Archive angewandt wurde und dabei die Option „Wiederherstellungsdaten hinzufügen“ aktiviert war.

Neuer (alter) WinRAR-Distributor

Seit heute fehlt das markante ROG-Logo rechts oben auf der WinRAR-Seite.

Nach über 13 Jahren erfolgreicher und sehr angenehmer Zusammenarbeit zieht sich die ROG GmbH aus dem Softwarevertrieb zurück.

Für WinRAR-Kunden ändert sich nichts. Kontaktadressen und Telefonnummern bleiben bestehen, wir betreuen den kompletten Kundenbestand unverändert weiter. Lediglich die Rechnungen für WinRAR-Lizenzbestellungen haben jetzt einen anderen Absender.

Auf gutes Gelingen!

 

Offenbar ist in einer der letzten WinRAR-Versionen der Button für die Option „Passwort festlegen“ in das erste Dialogfenster gewandert. Das ist durchaus sinnvoll, weil in der Vergangenheit viele Anwender diese Funktion nicht auf Anhieb unter „Erweitert“ entdeckt haben.

Passwort festlegen

Bitte klicken Sie auf das Bild, um es zu vergrößern


Allerdings finden ihn erfahrenere Anwender jetzt nicht mehr an der gewohnten Stelle.
Hier sehen Sie den verschobenen Button in Aktion.

Sie können den Passwortdialog in der WinRAR-Oberfläche aber nach wir vor durch Strg-P oder einen Klick auf das kleine Schlüsselsymbol links unten im Programm aufrufen.

WinRAR 5.10 – was ist neu?

rarlab spendiert WinRAR, dem inzwischen weltweit führenden Packprogramm, verbesserte Entpackfunktionen und die Unterstützung von AES-NI.

AES-NI (New Instructions) – Prozessoren können Ver- und Entschlüsselungsoperationen deutlich schneller durchführen. WinRAR unterstützt jetzt diesen erweiterten Befehlssatz auf entsprechend ausgerüsteten Maschinen.
Auf vielfachen Wunsch wurde die 7-zip-Unterstützung dahingehend erweitert, dass jetzt auch mehrteilige 7-zip-Archive problemlos entpackt werden können.
zip- und zipx-Archive, die im BZIP2-, LZMA- oder PPMd-Verfahren komprimiert wurden, können jetzt ebenfalls entpackt werden.