Heute Vormittag wurde ein Video auf YouTube veröffentlicht, in dem gezeigt wird, wie ein mit WinRAR erstelltes selbstextrahierendes Archiv Schadsoftware von einem Server laden kann. Das c’t-Magazin hat uns um 11:58 Uhr eine Stellungnahme gebeten. Bevor die Stellungnahme erfolgen konnte, wurde dieser Artikel auf heise.de veröffentlicht (12:55 Uhr).
Die Stellungnahme von Eugene Roshal (rarlab) erreichte uns um 13:49 Uhr. Wir haben sie im Original im Kommentarbereich zum Artikel veröffentlicht. Der selbe Text findet sich inzwischen auch auf der rarlab-Seite.
Kurze Zusammenfassung: Ein mit WinRAR erstelltes selbstextrahierendes Archiv kann Programme ausführen. Das ist eine erwünschte Eigenschaft; damit lassen sich z.B. Setup-Routinen für eigene Programme selbst erstellen. Leider lässt sich diese Fähigkeit auch missbrauchen und es kann Schadsoftware beim Anwender ausgeführt werden. Dieses Risiko besteht aber bei jedem ausführbaren Programm (insbesondere, wenn es unbekannter Herkunft ist) und dafür braucht der Angreifer eigentlich nicht die im Video gezeigten Umwege.
Wenn Sie eine mit WinRAR erstellte ausführbare Datei erhalten (erkennbar meist an dem unten abgebildeten Symbol, drei Bücher im gelben Karton) und über Herkunft und Vertrauenswürdigkeit im Zweifel sind, klicken Sie mit der rechten Maustaste darauf und wählen „Mit WinRAR öffnen“. Sie können dann den Inhalt einsehen und beurteilen, bevor Sie die Datei ausführen.
Normale RAR-Dateien sind von dem „Problem“ nicht betroffen.
Nachtrag: Auch golem.de berichtet um 16:21 Uhr (etwas differenzierter) über die Problematik.
2. Nachtrag: heise.de hat den Artikel angepasst und „entschärft“. Es handele sich nicht um eine Sicherheitslücke.
08.10.2015: Einige Magazine gestehen ein, falsch berichtet zu haben – und bitten um Entschuldigung. Ein Beispiel finden Sie hier (PDF). Darüber berichten wiederum andere (PDF).
Malwarebytes: „Users of WinRAR have nothing to worry about as they are not being targeted nor is the WinRAR product itself malicious or allowing malicious files to be run on the system.“ (07.10.2015)