SFX-Vulnerability

All posts tagged SFX-Vulnerability

Welcome to the 107th edition of the WinRAR Newsletter! […]

Content: False Alert, no patches for WinRAR are needed!


Dear WinRAR User,

Our organisation and our work on WinRAR have recently become victim of false accusations and exaggerations in unqualified reports globally from authors in several media channels including some reputable media sites. News and alerts are in circulation regarding supposed security threats for WinRAR called „SFX archive vulnerability“, „WinRAR zero day exploit“, „Mohammad-Reza-Espargham Full Disclosure“ or „WinRAR’s MS14-064 problem“ and falsely claiming to put all WinRAR users in danger.

These reports are simply false alerts and have nothing to do with WinRAR itself, but are merely a replication of problems known to exist on systems that are already vulnerable before WinRAR is being used on those flawed systems. We are currently asking the media and security companies who spread these alerts to correct them quickly.

Some responsible authors and media channels have already corrected their alerts, but it is impossible to reach them all at once and we expect these false news to spread and possibly be accelerated through additional false reports. We would like to especially mention that many of the security sites and magazines appear to be blindly copying information about this issue. Many articles say that „We asked WinRAR to comment“ but in fact we received only a few emails from merely a couple of responsible journalists who contacted us themselves.

[…]


1. Supposed WinRAR self-extracting (SFX) vulnerability

As reported by seclists.org/fulldisclosure/2015/Sep/106, it is possible to create SFX archives with a specially crafted HTML text, which -if started as executable- will download and run an arbitrary executable on a user’s computer.

The entire attack is based on vulnerabilities in Windows OLE MS14-064 which have already been patched in November 2014. If you have not installed this patch for some reason it is strongly recommended to install it. It is important for the security of your entire system and is not a WinRAR specific issue. Without this patch any software utilizing MS Internet Explorer components including Internet Explorer itself may be vulnerable to specially crafted HTML page allowing code execution.

The WinRAR SFX module displays HTML in its start dialog so it is affected too, like a huge number of other tools. This issue does not create any new risk factors for SFX archives. Being an executable file, SFX archives already can do everything that can be done with this MS14-064 vulnerability. SFX archives can run any local executable or download and run a remotely stored executable utilizing the official SFX module „Setup“ command. This feature is required for software installers. Regardless of discussed Windows vulnerability -as for any .exe file- users should run SFX archives only if they are sure that such archive has been received from a trustworthy source. […]

 

NEWSLETTER SERVICE
Marienstrasse 12, 10117 Berlin, Germany
newsletter@win-rar.com (mail) www.win-rar.com (web)

win.rar GmbH -the official publisher of RARLAB products- handles all support, marketing and sales related to WinRAR & RARLAB.COM.

Den kompletten Text des Newsletters können Sie hier im PDF-Format laden.
Hier finden Sie die Stellungnahme von Eugene Roshal, dem Chefprogrammierer.
Beide Texte sind zur Veröffentlichung freigegeben.
Sie liegen nur in englischer Sprache vor. Wenn Sie Fragen dazu haben, melden Sie sich gern telefonisch.

Sicherheitslücke: Gefährliche Archive mit WinRAR erzeugen

Heute Vormittag wurde ein Video auf YouTube veröffentlicht, in dem gezeigt wird, wie ein mit WinRAR erstelltes selbstextrahierendes Archiv Schadsoftware von einem Server laden kann. Das c’t-Magazin hat uns um 11:58 Uhr eine Stellungnahme gebeten. Bevor die Stellungnahme erfolgen konnte, wurde dieser Artikel auf heise.de veröffentlicht (12:55 Uhr).

Die Stellungnahme von Eugene Roshal (rarlab) erreichte uns um 13:49 Uhr. Wir haben sie im Original im Kommentarbereich zum Artikel veröffentlicht. Der selbe Text findet sich inzwischen auch auf der rarlab-Seite.

Kurze Zusammenfassung: Ein mit WinRAR erstelltes selbstextrahierendes Archiv kann Programme ausführen. Das ist eine erwünschte Eigenschaft; damit lassen sich z.B. Setup-Routinen für eigene Programme selbst erstellen. Leider lässt sich diese Fähigkeit auch missbrauchen und es kann Schadsoftware beim Anwender ausgeführt werden. Dieses Risiko besteht aber bei jedem ausführbaren Programm (insbesondere, wenn es unbekannter Herkunft ist) und dafür braucht der Angreifer eigentlich nicht die im Video gezeigten Umwege.

Wenn Sie eine mit WinRAR erstellte ausführbare Datei erhalten (erkennbar meist an dem unten abgebildeten Symbol, drei Bücher im gelben Karton) und über Herkunft und Vertrauenswürdigkeit im Zweifel sind, klicken Sie mit der rechten Maustaste darauf und wählen „Mit WinRAR öffnen“. Sie können dann den Inhalt einsehen und beurteilen, bevor Sie die Datei ausführen.

SFX-Archiv öffnen

Normale RAR-Dateien sind von dem „Problem“ nicht betroffen.

Nachtrag: Auch golem.de berichtet um 16:21 Uhr (etwas differenzierter) über die Problematik.
2. Nachtrag: heise.de hat den Artikel angepasst und „entschärft“. Es handele sich nicht um eine Sicherheitslücke.

08.10.2015: Einige Magazine gestehen ein, falsch berichtet zu haben – und bitten um Entschuldigung. Ein Beispiel finden Sie hier (PDF). Darüber berichten wiederum andere (PDF).

Malwarebytes: „Users of WinRAR have nothing to worry about as they are not being targeted nor is the WinRAR product itself malicious or allowing malicious files to be run on the system.“ (07.10.2015)