WinRAR RCE: Sicherheitslücke in Version 5.70

honeybee · 21. Oktober 2021 um 18:11

Kommentare zu folgendem Beitrag: WinRAR RCE: Sicherheitslücke in Version 5.70

VIP · 21. Oktober 2021 um 19:29

Was ich dabei allerdings sehr rätselhaft finde, ist die Tatsache, dass die Bibliotheks-Datei MSHTML.dll wirklich erst ab Version 5.7x vorhanden war!
In einer anderen Haupt-Version, nämlich 5.4x kann ich diese nicht entdecken! Dabei wäre es doch viel logischer, bezüglich des IE, sie dort erst recht aufzufinden??

Man sollte vielleicht auch einmal die beiden Anlaufstellen im Internet, nämlich winrar.de sowie win-rar.com im Blick haben!

winrar.de
Andreas Zeuner
Softwareentwicklung und -vertrieb

(WinRAR-Distributor seit 1998)

Alter Postweg 22
D-23627 Gr. Grönau
Telefon: 04509 712084 (intl. +49 4509 712084)
Mobil: 0151 67523068
Fax: 03212 1159027 (intl. +49 3212 1159027)
eMail: info@winrar.de
USt-ID: DE298395430

win-rar.com
Mail address:
win.rar GmbH
Marienstrasse 12
10117 Berlin
Germany

HRB 109885 B Amtsgericht Charlottenburg
Ust-ID Nr. DE255974207

Legal Representatives:
Burak Canboy, Öncül Kaya

Email:
info(at)win-rar.com
Fax:
+49 30 22504967

DirkP · 22. Oktober 2021 um 09:56

Man kann auch die Original Webseite rarsoft.com nutzen, dort gibt es auch diese obige Deutsche Version und andere Sprachen und die aktuelle Beta, für die Deutsche Beta kann man dann auch die letzte Sprachendatei aus der obigen nutzen. Ich bin auch einer der User die Winrar original haben das ganze aber schon seit 95

VIP · 22. Oktober 2021 um 10:47

Die Site „rarsoft.com“ gehört zu der Berliner Adresse über dir, macht also keinen Unterschied! Lizenz oder nicht, macht ja laut Artikel keinen Unterschied bezüglich der Lücke.
Welche Version nutzt du denn? Die 5.7x oder die 6.x(beta)?
Ich hatte mich halt gewundert, dass die betreffende *.dll-Datei in der Version 5.4x gar nicht erst vorhanden ist…

DirkP · 22. Oktober 2021 um 17:12

Die Webseite rarsoft.com ist aber bekannter und hier gibt es immer die neusten Versionen. Ich nutze die Beta 6.1 beta 1. Warum sollte ich eine Version von glaube 2019 nutzen? Es sollte doch wohl inzwischen klar sein das eine zwei Jahre alte Software Sicherheitslücken hat. Also wer die nutzt muss doch wohl mit Sicherheitslücken leben.

VIP · 22. Oktober 2021 um 17:54

Einfache Antwort:
Nein, muß man halt nicht, denn ein raus-patchen, was dann bei V6.x ja passiert ist, hätte man genauso gut auch bei V5.7x machen können!!
Und mal ganz generell gesagt, hat das Alter einer Software nichts damit zu tun, ob diese Sicherheitslücken hat oder nicht. Die Lücke ist entweder drin oder auch nicht und das von Anfang an…sie wächst ja im Laufe der Jahre dort nicht mal eben so rein!
Momentan ist die 6er Version in der Warez -und p2p-Szene ein absolutes Nogo, da die verwendeten Pack-Algorithmen noch zu Inkompatibilitäten mit den verwendeten Algorithmen der dortigen Packprogramme führen!

DirkP · 23. Oktober 2021 um 06:41

Das Alter einer Software ist unbedeutend aber die Wahrscheinlichkeit ist sehr wohl höher. Wer heute noch 2000 oder XP einsetzt dem sollte klar sein das er sich anderweitig schützen muss.
War nicht erst Windows das beste Beispiel dafür das die einen Bug drin hatten der schon seit Ewigkeiten bestand oder Openssl usw. Ich bin Programmierer und daher benötige ich zum Testen die neuste Software und warum sollte es die meisten interessieren was in der Warez p2p Szene ein Nogo ist? Das ist doch nicht der Stand der Dinge Wenn die veraltete verbuggte Software nutzen ist das den ihr Risiko und auch klar sein.

VIP · 23. Oktober 2021 um 16:32

Keine Ahnung…vielleicht, weil sich hier im Forum sowieso so wenige Artikel, Threads mit der Thematik beschäftigen?

Da ja auch Coder bekanntlicherweise über ihren Tellerrand hinüberschauen, solltest du schon wissen, dass es diese Szene gibt und wie dort gearbeitet wird. Dort werden bestimmt keine veralteten und verbuggten Tools eingesetzt, eher gegenteilig würde ich mal behaupten. Ich wüsste auch nicht, wie die sonst bei Cracks / Patches für nagelneue Programme, zu funktionierenden Ergebnissen kommen könnten? Wie du ja selber sagst, brauchst du aus Testgründen selber immer schon die neusten Versionen. Ich kann dir versichern, dass es dort wohl auch so gehandhabt wird…

DirkP · 24. Oktober 2021 um 07:08

Wir reden leider aneinander vorbei. Selbst ich nutze noch XP für einige Programme die ich weiterentwickle. Aber das ganze ist in einer Virtuellen Maschine am laufen und es geht nichts Online. Aber deshalb sollte jedem klar sein wenn er alte Software einsetzt und das ganze System darauf Zugriff hat er immer eine Sicherheitslücke öffnen kann. Dafür muss man kein Experte sein.
Auch gab es mal eine Winrar Lizenz irgendwo kostenlos ohne Updatemöglichkeit, es gibt bestimmt noch etliche Leute die die einsetzen. Aber wird nicht eher 7z von den meisten eingesetzt. Also ich nutze Winrar eher selten.

VIP · 24. Oktober 2021 um 09:04

Ach Quatsch, wir reden doch gar nicht aneinander vorbei, man trifft sich doch sowieso an irgend einem Punkt
7z ist eine sehr gute Alternative…cooler Algo, sehr schnell, viele Formate. Ich erinnere mich sogar noch, als das Teil vorgestellt wurde. Die Anzahl der Formate und dann noch übergreifend für Win und Linux, komplett für lau - war ja fast unglaublich damals!
Und zur Qualität der Software, auch über die Jahre, kann man nur sagen → Chapeau…

xyxy_yx · 29. Oktober 2021 um 18:29

Hätte eine Frage, zwar nicht ganz Topik, aber mit Winrar zu tun. Ich verwende Winrar bevorzugt wegen der Wiederherstellungsfunktion. Kennt jemand alternative Packer, die das auch können?

90isKID · 29. Oktober 2021 um 18:32

7ZIP

https://www.7-zip.org/recover.html#:~:text=7-Zip%20writes%20full%20Start,end%20of%20archive%20creation%20operation.&text=If%20there%20is%20no%20End,raw%20file%20with%20some%20parser.

xyxy_yx · 29. Oktober 2021 um 20:38

Besten Dank für die Info, ist zwar ein bisschen aufwendiger wie bei Winrar, aber interessant.

90isKID · 29. Oktober 2021 um 20:57

nicht umsonst ist Winrar der Platzhirsch, gerne

VIP · 30. Oktober 2021 um 00:52

PeaZip als quelloffenes, plattformübergreifendes und portables Packprogramm kann das auch! Zum Beispiel auch das Archiv-Layout wiederherstellen oder auch nachträglich bearbeiten!

Native Unterstützung:
7z, 7z-SFX, bzip2/TBZ, FreeArc, gzip/TGZ, PAQ8 / LPAQ / ZPAQ, PEA, QUAD / BALZ / BCM, Teilarchive (.001), tar, WIM, XZ, ZIP.

Teilweise Unterstützung (Durchsuchen/Testen/Extrahieren):
ACE, ARJ, CAB, CHM, cpio, deb, ISO-CD/DVD-Abbilder, Java-Archive (JAR, EAR, WAR), LPAQ1, LPAQ5, lpaq8 (Lesen/Schreiben), LZH, NSIS-Installer, OpenDocument-Dateitypen, PAQ8O, PET/PUP (Puppy Linux Installer), PAK/PK3/PK4, RAR, RPM, SLP (Stampede Linux package), u3p (Lesen), Z, ZIPX.

PeaZip dient außerdem als grafisches Frontend für die folgenden Open-Source- oder Freeware-Programme:

Pea Programm (grafisch) vom selben Autor;
Igor Pavlovs 7-Zip und myspaces POSIX-Port von 7z unter Linux;
PAQ8, LPAQ, ZPAQ: Matt Mahoney (Bill Pettis PAQ8JD);
Ilia Muravievs QUAD, BALZ, BCM[3]
GNU Strip[4] und UPX
UNACEV2.DLL 2.6.0.0 (gebührenfreie UNACEV2.DLL-Lizenz) und UNACE für Linux (gebührenfreie UNACE for Linux-Lizenz), Marcel Lemke, ACE Compression Software.