WinRAR

Neuigkeiten zu WinRAR, Tipps & Tricks

Welcome to the 107th edition of the WinRAR Newsletter! […]

Content: False Alert, no patches for WinRAR are needed!


Dear WinRAR User,

Our organisation and our work on WinRAR have recently become victim of false accusations and exaggerations in unqualified reports globally from authors in several media channels including some reputable media sites. News and alerts are in circulation regarding supposed security threats for WinRAR called „SFX archive vulnerability“, „WinRAR zero day exploit“, „Mohammad-Reza-Espargham Full Disclosure“ or „WinRAR’s MS14-064 problem“ and falsely claiming to put all WinRAR users in danger.

These reports are simply false alerts and have nothing to do with WinRAR itself, but are merely a replication of problems known to exist on systems that are already vulnerable before WinRAR is being used on those flawed systems. We are currently asking the media and security companies who spread these alerts to correct them quickly.

Some responsible authors and media channels have already corrected their alerts, but it is impossible to reach them all at once and we expect these false news to spread and possibly be accelerated through additional false reports. We would like to especially mention that many of the security sites and magazines appear to be blindly copying information about this issue. Many articles say that „We asked WinRAR to comment“ but in fact we received only a few emails from merely a couple of responsible journalists who contacted us themselves.

[…]


1. Supposed WinRAR self-extracting (SFX) vulnerability

As reported by seclists.org/fulldisclosure/2015/Sep/106, it is possible to create SFX archives with a specially crafted HTML text, which -if started as executable- will download and run an arbitrary executable on a user’s computer.

The entire attack is based on vulnerabilities in Windows OLE MS14-064 which have already been patched in November 2014. If you have not installed this patch for some reason it is strongly recommended to install it. It is important for the security of your entire system and is not a WinRAR specific issue. Without this patch any software utilizing MS Internet Explorer components including Internet Explorer itself may be vulnerable to specially crafted HTML page allowing code execution.

The WinRAR SFX module displays HTML in its start dialog so it is affected too, like a huge number of other tools. This issue does not create any new risk factors for SFX archives. Being an executable file, SFX archives already can do everything that can be done with this MS14-064 vulnerability. SFX archives can run any local executable or download and run a remotely stored executable utilizing the official SFX module „Setup“ command. This feature is required for software installers. Regardless of discussed Windows vulnerability -as for any .exe file- users should run SFX archives only if they are sure that such archive has been received from a trustworthy source. […]

 

NEWSLETTER SERVICE
Marienstrasse 12, 10117 Berlin, Germany
newsletter@win-rar.com (mail) www.win-rar.com (web)

win.rar GmbH -the official publisher of RARLAB products- handles all support, marketing and sales related to WinRAR & RARLAB.COM.

Den kompletten Text des Newsletters können Sie hier im PDF-Format laden.
Hier finden Sie die Stellungnahme von Eugene Roshal, dem Chefprogrammierer.
Beide Texte sind zur Veröffentlichung freigegeben.
Sie liegen nur in englischer Sprache vor. Wenn Sie Fragen dazu haben, melden Sie sich gern telefonisch.

Im Zusammenhang mit den Berichten über die angebliche Sicherheitslücke in SFX-Archiven (siehe hier und hier) ist auch eine Meldung über ein Problem mit dem Registrierungshinweis, der bei einigen WinRAR-Versionen nach dem Ablauf der Probezeit eingeblendet wird, aufgetaucht.

Bitte beachten: Es handelt sich nicht um das kleine Fenster, das Sie links im Bild unten sehen, sondern um eine nachgeladene HTML-Seite mit veränderlichem Inhalt (rechts), die nur gelegentlich beim Fehlen einer Lizenz angezeigt wird.

Registrierungshinweis

Da es sich um HTML-Code handelt, liegt ein potentielles Risiko vor – unter folgenden Voraussetzungen:
1. Ihr lokales Netzwerk ist bereits kompromittiert und ein Angreifer wartet darauf, an Sie ausgelieferte HTML-Seiten abzufangen und zu verändern.
2. Sie verwenden einen Internet-Explorer ohne Sicherheitspatches.

Wir schätzen das Problem ähnlich ein wie bei der oben genannten Sicherheitslücke in SFX-Archiven. Es handelt sich nicht um ein Lücke in WinRAR, sondern im Internet Explorer und gegebenenfalls im lokalen Netzwerk.
Unter diesen Umständen reicht auch das Aufrufen einer Webseite im Browser oder durch ein beliebiges Programm – WinRAR ist dazu nicht erforderlich.

Nichtsdestotrotz nehmen wir jede Meldung zum Anlass, Verbesserungen in der Sicherheit zu diskutieren und, falls erforderlich, schnell umzusetzen.

Eugene Roshals Stellungnahme dazu lesen Sie hier im Original oder hier (PDF).

Sicherheitslücke: Gefährliche Archive mit WinRAR erzeugen

Heute Vormittag wurde ein Video auf YouTube veröffentlicht, in dem gezeigt wird, wie ein mit WinRAR erstelltes selbstextrahierendes Archiv Schadsoftware von einem Server laden kann. Das c’t-Magazin hat uns um 11:58 Uhr eine Stellungnahme gebeten. Bevor die Stellungnahme erfolgen konnte, wurde dieser Artikel auf heise.de veröffentlicht (12:55 Uhr).

Die Stellungnahme von Eugene Roshal (rarlab) erreichte uns um 13:49 Uhr. Wir haben sie im Original im Kommentarbereich zum Artikel veröffentlicht. Der selbe Text findet sich inzwischen auch auf der rarlab-Seite.

Kurze Zusammenfassung: Ein mit WinRAR erstelltes selbstextrahierendes Archiv kann Programme ausführen. Das ist eine erwünschte Eigenschaft; damit lassen sich z.B. Setup-Routinen für eigene Programme selbst erstellen. Leider lässt sich diese Fähigkeit auch missbrauchen und es kann Schadsoftware beim Anwender ausgeführt werden. Dieses Risiko besteht aber bei jedem ausführbaren Programm (insbesondere, wenn es unbekannter Herkunft ist) und dafür braucht der Angreifer eigentlich nicht die im Video gezeigten Umwege.

Wenn Sie eine mit WinRAR erstellte ausführbare Datei erhalten (erkennbar meist an dem unten abgebildeten Symbol, drei Bücher im gelben Karton) und über Herkunft und Vertrauenswürdigkeit im Zweifel sind, klicken Sie mit der rechten Maustaste darauf und wählen „Mit WinRAR öffnen“. Sie können dann den Inhalt einsehen und beurteilen, bevor Sie die Datei ausführen.

SFX-Archiv öffnen

Normale RAR-Dateien sind von dem „Problem“ nicht betroffen.

Nachtrag: Auch golem.de berichtet um 16:21 Uhr (etwas differenzierter) über die Problematik.
2. Nachtrag: heise.de hat den Artikel angepasst und „entschärft“. Es handele sich nicht um eine Sicherheitslücke.

08.10.2015: Einige Magazine gestehen ein, falsch berichtet zu haben – und bitten um Entschuldigung. Ein Beispiel finden Sie hier (PDF). Darüber berichten wiederum andere (PDF).

Malwarebytes: „Users of WinRAR have nothing to worry about as they are not being targeted nor is the WinRAR product itself malicious or allowing malicious files to be run on the system.“ (07.10.2015)

WinRARs originäre Aufgabe ist das Archivieren von Dateien.

Einfache Beispiele:

  • abgeschlossenese Projekte
  • alte Versionen Ihrer Webseiten
  • Schriftverkehr vergangener Jahre
  • aussortierte Fotos
  • ältere BackUp-Sätze, die voraussichtlich nicht mehr benötigt werden
  • Installationsdateien älterer Programmversionen

Solche Archive erstellt WinRAR einfach mit wenigen Mausklicks, ohne dass Sie sich mit den Einstellungen und erweiterten Funktionen eingehend befassen müssten. Sie können die Archive auf externe Datenträger oder verschlüsselt in Ihre Cloud verschieben und die Originaldateien löschen. Damit erhalten Sie mehr Speicherplatz und Übersichtlichkeit auf Ihrer Festplatte.

mögliche Einstellungen für das Archivieren von Dateien

mögliche Einstellungen für das Archivieren von Dateien

Sie sollten „Wiederherstellungsdaten hinzufügen“ und das Archiv nach Fertigstellung testen lassen. Bei sehr großen Datenmengen empfiehlt sich die Aufteilung in mehrere Teile. Wenn Sie keinen Wert auf möglichst kleine Archive legen, können Sie bei „Kompressionsmethode“ speichern einstellen. WinRAR wird dann schneller fertig.

Ein Klick auf den Hilfebutton rechts unten im oben abgebildeten Programmfenster führt Sie zur WinRAR-Hilfe. Alle abgebildeten Optionen werden Ihnen dann noch ausführlicher erklärt.

erweiterte Archivparameter

erweiterte Archivparameter

Im Fenster „Erweitert“ können Sie zusätzliche Parameter festlegen. Auch hier gilt: Der Klick auf den Hilfeknopf hilft bei Unklarheiten oft weiter. Wenn Sie im vorherigen Fenster eine Volumengröße festgelegt und damit das Archiv geteilt haben, können Sie hier die Anzahl der Wiederherstellungsvolumen festlegen. Das ist sinnvoll bei großen Datenmengen und wenn Sie die Teilarchive an andere Personen weitergeben wollen. Dazu erhalten Sie hier weitere Informationen (letzter Absatz).

Darüber hinaus können Sie mit WinRAR auch BackUps erstellen.

Im Unterschied zur Archivierung werden hierbei meist Daten gesichert, die für den laufenden Betrieb erforderlich sind. Auch wenn sich die Themengebiete überschneiden – für BackUps bietet WinRAR zusätzliche Optionen, die Sie unter dem Reiter „Backup“ finden.

erweiterte Optionen für BackUps

erweiterte Optionen für BackUps

Die abgebildeten Optionen sind mit etwas Kenntnis des Betriebssystems selbsterklärend – Option 2 und 3 sorgen dafür, dass nur geänderte Daten in das BackUp-Archiv geschrieben werden.
Option 4 verhindert Fehlermeldungen, wenn anderweitig geöffnete Daten von WinRAR verarbeitet werden.
Die fünfte Option benennt Ihre BackUps mit dem aktuellen Datum und „Vorherige Dateiversionen erhalten“ sorgt dafür, dass geänderte Daten in das Archiv geschrieben werden, ohne dass Vorversionen gelöscht werden. Damit werden Ihre Archive revisionssicher.

Für BackUps empfehlen wir außerdem:

  • Updatemodus

    • Befassen Sie sich mit dem Updatemodus im ersten Einstellungsdialog.
      Die Unterschiede der einzelnen Modi werden in der Hilfe erläutert. Wenn Sie unsicher sind, belassen Sie es bei der Standardvorgabe.
    • Verwenden Sie ein RAR- statt des Zip-Formats. Neben anderen Vorteilen bietet Ihnen nur das RAR-Format die Möglichkeit, beschädigte Archive zu reparieren.
    • Verlassen Sie sich nie auf ein einziges BackUp-Archiv. Legen Sie mindestens eine Kopie an und speichern Sie sie an anderer Stelle.
    • Für regelmäßige BackUps können Sie ein Profil erstellen. Darin bleiben alle Ihre Einstellungen festgelegt und Sie können das BackUp mit nur einem Mausklick durchführen.
    • Prüfen Sie Ihre BackUp-Archive gelegentlich. Finden Sie sie wieder? Lassen sie sich problemlos öffnen? Sind externe Datenträger noch lesbar?
    • Dokumentieren Sie Ihre BackUp-Strategie. Das hilft nicht nur anderen berechtigten Anwendern im Falle eines Falles, sondern auch Ihnen selbst – denn in der Hektik nach einem Datenverlust können unüberlegte Reparaturversuche die Lage durchaus noch verschlimmern.
  • Archive konvertieren
    Die Funktion „Archive konvertieren“ gehört zu den weniger bekannten in WinRAR. Dabei ist sie nicht nur nützlich, um zum Beispiel zip- in rar-Archive umzuwandeln, Sie können damit auch in einem Rutsch alle Ihre rar-Archive mit einem Passwort versehen.
    Sie finden diese Funktion im Menü „Extras“ oder rufen Sie durch Druck auf Alt+Q auf.

    Öncül Kaya, Geschäftsführer der win.rar GmbH, erklärt die Details:

    WinRAR ermöglicht über den Befehl „Archive konvertieren“ die Neukomprimierung von Archiven von einem Format in ein anderes. Je nach Modus kann der Nutzer mehrere Dateien und Verzeichnisse zur Konvertierung auswählen oder sich auf das aktuelle Archiv beziehen. Die Konvertierung kann auf RAR-Archive und alle von WinRAR unterstützte Archiv-Formate angewandt werden.

    Ein paar Vorteile veranschaulichen diese Funktion:

    – Bessere Kompression:
    Diese Funktion ist sehr nützlich, wenn ein Anwender eine bessere Kompression für ein Archiv erreichen möchte: Hat er z.B. Standard ZIP 2.0-Archiv, bietet sich die Neukomprimierung in ein RAR-Archiv an. RAR komprimiert besser als Standard ZIP 2.0.

    – Einheitliches Archivformat:
    Viele User möchten nur noch ein einheitliches Archive Format (RAR) auf dem Rechner haben, statt jede Menge unterschiedliche CAB, ARJ, LZH, TAR, GZ, ACE, UUE, BZ2, JAR, 7Z, Z Archive.

    – Einheitliche Komprimieroptionen:
    Die Konvertierfunktion erweist sich als sehr nützlich, um mehrere Archive mit dem gleichen Passwort zu versehen, von Non-Solid- auf Solid-Kompression umzustellen oder einfach alle Archive mit besseren Optionen neu zu packen.

    WinRAR und RAR sind von jeher als sehr stabil und zuverlässig bekannt und werden auch deshalb weltweit millionenfach eingesetzt.

    Leider ist es trotzdem nicht ganz ausgeschlossen, dass Sie beim Entpacken auf eine Fehlermeldung wie „Unerwartetes Archivende“, „CRC-Fehler in…„, „keine Dateien zu entpacken“ oder gar „corrupt header“ stoßen.

    Das ist natürlich insbesondere dann ärgerlich, wenn Sie große Datenmengen in ein einziges Archiv gesichert haben und zudem nicht mehr über die Originaldaten verfügen.

    Die Gründe für beschädigte Archive liegen in aller Regel an Fehlern der Hardware oder bei der Datenübertragung:
    Festplatten können beschädigte Sektoren aufweisen, CDs und DVDs altern, Übertragungsfehler beim Kopieren im Netzwerk oder beim Hoch- und Runterladen im Internet kommen leider vor.
    Nicht zuletzt können übertaktete Prozessoren zu fehlerhaften Archiven führen.

    Sicherheitseinstellungen

    WinRAR bietet aber einige Funktionen, um das Risiko eines Datenverlustes zu minimieren. Sie sollten deshalb bereits beim Erstellen Ihrer Archive abwägen, ob Ihnen die Sicherheit Ihrer Daten etwas mehr Zeit- und Platzaufwand wert sind.

    Im Dialogfenster „Archivname und Archivparameter einstellen“ gibt es unter den Reitern „Allgemein“ und „Er­weitert“ (siehe Abbildung rechts) fünf Optionen, die Sie bei der Daten­sicher­heit unterstützen.

    Wiederherstellungsdaten hinzu­fügen“ – diese Option sollten Sie standardmäßig aktivieren. Sie vergrößert Ihre Archive um einen einstellbaren Prozentanteil (siehe Reiter „Erweitert“, drei Prozent sind voreingestellt und empfehlens­wert), erhöht aber die Erfolgsaussichten der „Reparieren“-Funktion immens.
    Teste archivierte Dateien“ – mit dieser Option veranlassen Sie WinRAR, nach dem Komprimieren die archivierten Dateien noch einmal mit den Originalen zu vergleichen. Das ist insbesondere wichtig, wenn Sie außerdem die Option „Dateien nach dem Archivieren löschen“ gewählt haben. WinRAR würde dann bei einem erkannten Fehler Ihre Originale nicht löschen.
    Volumengröße“ festlegen – wenn Ihr Archiv sehr groß wird (z.B. mehrere Gigabyte), dann erwägen Sie, es in mehrere Archive aufzuteilen. Sie verringern damit die Möglichkeit, dass Ihre komplette Datensicherung wegen eines Hardware- oder Übertragungsfehlers zerstört ist.
    Außerdem haben Sie dann die Möglichkeit, von WinRAR automatisch Wiederherstellungsvolumen (siehe Reiter „Erweitert“) erstellen zu lassen.
    Diese faszinierende Fähigkeit wird in einem lesenswerten Artikel auf All About Security von Öncül Kaya, Geschäftsführer der win.rar GmbH, anschaulich erklärt – bitte scrollen Sie ganz nach unten (oder klicken Sie für einen Auszug hier).

      Bei sehr wichtigen Daten oder BackUps und wenn es nicht auf das letzte eingesparte Byte ankommt, sollten Sie auf die Option „Solides Archiv erstellen“ verzichten. Solide Archive werden besonders speicheroptimiert erstellt, aber bei Fehlern im Archiv sind die auf den Fehler folgenden Daten verloren.
      Erstellen Sie Ihre Archive außerdem im RAR- oder RAR5-Format. ZIP-Archive bieten die vorab genannten Möglichkeiten leider nicht.
      BackUps und wichtige Archive sollten immer mehrfach vorliegen. Schon bei nur einer Kopie vermindern Sie den Datenverlust rechnerisch um 50 Prozent, wenn Sie die Kopie auf unterschiedlichen Medien lagern.

    Wie Sie Daten aus einem beschädigten Archiv retten können, lesen Sie hier.

    Autor: Öncül Kaya, Geschäftsführer der win.rar GmbH

    Technischer Hintergrund: So funktioniert das Wiederherstellen von Archiven mithilfe von Wiederherstellungsinformationen (Recovery Records)

    Die Daten in einem RAR-Archiv sind in 512-Byte große Blöcke gruppiert. Für jeden Block wird eine Kontrollsumme erstellt, anhand derer WinRAR beschädigte Blöcke erkennen kann. Gleichzeitig unterstützt das RAR-Archivformat einen speziellen Typ von redundanten Informationen, die so genannten „Recovery Records“ oder Wiederherstellungs­informationen.
    Ist ein Daten-Byte eines Archivs beschädigt, kann WinRAR anhand des mitgespeicherten Recovery Records über einen speziellen Algorithmus das fehlende Byte rekonstruieren.
    Dabei enthält ein „Recovery Record“ bis zu 524288 so genannter Wiederherstellungsblöcke.
    Wenn die Daten eines Dateiarchivs fortlaufend beschädigt sind, ist jeder Wiederherstellungsblock in der Lage, 512 Bytes an Daten wiederherzustellen.
    Das heißt: Sind die beschädigten Daten fortlaufend und die Größe der beschädigten Daten kleiner als n*512 Bytes (n ist die Anzahl der Wiederherstellungsblöcke im Archiv), dann ist die Chance einer erfolgreichen Wiederherstellung sehr hoch.

    Die Größe der Wiederherstellungsinformationen kann vom Nutzer gewählt werden. Grundsätzlich gilt, dass 1 % an Wiederherstellungsinformationen 0,6 % eines Archivs mit fortlaufend defekten Daten reparieren können.

    Wiederherstellungsinformationen können bei der Archiv-Erstellung ganz einfach über die WinRAR- Benutzeroberfläche hinzugefügt werden. Über dieselbe werden auch Reparaturen vorgenommen.
    Um ein beschädigtes Archiv mithilfe von Wiederherstellungsinformationen zu reparieren, wird einfach in der WinRAR-Benutzeroberfläche „Archiv reparieren“ gewählt: Das reparierte Archiv erhält den Namen fixed.archivname.rar, wobei ‚archivname‘ der Name des ursprünglich (beschädigten) Archivs ist.

    Für schwere Fälle gibt es eine zweite Reparaturphase, in der wenigstens die unbeschädigten Dateien wiederhergestellt werden können, auf die wegen der beschädigten Archivstruktur nicht mehr zugegriffen werden konnte. Wenn in diesem Fall die defekten Daten nicht korrigiert werden konnten, kann WinRAR zumindest zeigen, welche Daten noch in Ordnung sind.

    Gesplittete Archive mit Wiederherstellungsvolumen schützen

    Was bei einfachen Archiven die Recovery Records für einzelne Dateien oder Bytes sind, sind bei gesplitteten Archiven die Wiederherstellungsvolumen: Sie erlauben es, fehlende und beschädigte Volumen eines gesplitteten Archivs wiederherzustellen.
    Die Wiederherstellungsvolumen werden von WinRAR als .rev-Dateien gespeichert. Jedes Wiederherstellungsvolumen ist in der Lage, ein fehlendes RAR-Volumen wiederherzustellen.
    Wenn ein Anwender zum Beispiel 30 Volumen und drei Wiederherstellungsvolumen gespeichert hat, ist er in der Lage, drei beliebige fehlende Volumen wiederherzustellen.
    Ist die Anzahl der „.rev“-Dateien kleiner als die Anzahl der fehlenden Volumen, dann ist eine Wiederherstellung nicht möglich.