WinRAR: Falls nicht geschehen, Sicherheitsupdate einspielen
von caschy | 31 Kommentare
Wenige haben es gekauft, viele genutzt: Good Guy WinRAR. Ob es heute noch bei so vielen im Einsatz ist, möchte ich bezweifeln, zu viele Alternativen sind seit vielen Jahren zu haben. Dennoch einmal die kleine Servicenachricht für alle, die auf WinRAR setzen.
Im August 2023 veröffentlichte RARLabs eine aktualisierte Version von WinRAR, die Korrekturen für mehrere sicherheitsrelevante Fehler enthielt. Einer dieser Fehler, dem später die Bezeichnung CVE-2023-38831 zugewiesen wurde, ist eine logische Schwachstelle in WinRAR, die bei der Verarbeitung von manipulierten Archiven zu einer übermäßigen Erweiterung der temporären Dateien führt, kombiniert mit einer Eigenart in der Implementierung von ShellExecute von Windows, wenn versucht wird, eine Datei mit einer Erweiterung zu öffnen, die Leerzeichen enthält.
Die Sicherheitslücke ermöglicht es Angreifern die Ausführung von beliebigem Code, wenn ein Benutzer versucht, eine harmlose Datei (z. B. eine gewöhnliche PNG-Datei) innerhalb eines ZIP-Archivs anzuzeigen. Googles Sicherheits-Team aus der Threat Analysis Group (TAG) beschreibt die Lücke sehr genau hier. Ein Patch ist verfügbar, aber viele Benutzer scheinen immer noch verwundbar zu sein, so die Threat Analysis Group im Beitrag. TAG habe beobachtet, dass von der Regierung unterstützte Akteure aus einer Reihe von Ländern die WinRAR-Schwachstelle als Teil ihrer Operationen ausnutzen. Also: Version checken, gegebenenfalls aktualisieren.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Falls nicht geschehen, WinRAR deinstallieren und 7-Zip installieren 🙂
SCNR
Aber eine aktuelle. Die große Sicherheitslücke wurde erst da geschlossen. Also ist 7zip auch nicht besser als Winrar.
WinRAR hat durchaus seine Vorteile.
Welche denn, außer dass es Geld kostet? Zahlst du etwa auch für Browser oder E-Mailprogramme?
Ist schneller.
Kann Wiederherstellungsinformationen speichern.
Ich kann verschiedene Einstellungen als als sogenannte Profile speichern.
Bessere GUI.
Ich habe die Lizenz gerne bezahlt.
DU warst das? 😀
sorry, der musste sein 😀
Schneller als „tar -acf archiv.tzo *“?
Wiederherstellungsdaten, die wie zuverlässig funktionieren? Bei mir nie^^
Profile? Etwa je nach Wetterlage oder Laune? Regen=RAR und bei Erregtheit auch mal Kompressionsstufe Hoch?
Bessere GUI als was? 7-zip? tar? Keka unter MacOS? Rechtsklick, Senden an -> ZIP Archiv?
Es ist ja nicht so, als hätte ich früher die WinRAR GUI auch mal 30 Tage lang getestet. Z. B. auch mit den Wiederherstellungsinformationen. Aber du zählst nur stoisch Dinge auf.
Schlechte Nachrichten für uns beide, Kumpel: Wir sind beide Nostalgiker, die an bestimmten Dingen hängen, auch wenn’s mittlerweile Besseres gibt
Alleine schon, dass es Wiederherstellungsinformationen anfügen kann und wesentlich besser mit rar Archiven klar kommt ist ein großer Vorteil.
Meine WinRAR Lizenz habe ich übrigens vor locker 10 Jahren für 3-4 Euro im Angebot gekauft und die funktioniert immer noch mit jeder neuen Version.
Da zeigt sich wieder wie wichtig es ist seine Software aktuell zu halten.
Übrigens betrifft es wohl nicht nur WinRAR selbst: https://www.heise.de/news/WinRAR-Luecke-weitreichender-als-gedacht-9283622.html
Vielleicht erwähnenswert das Version 6.24 eingespielt werden sollte bzw wenn ihr nachschauen wollt welche Version ihr aktuell habt. 🙂
„zu viele Alternativen sind seit vielen Jahren zu haben“
Was für Alternativen, WinRar ist König <3
Und die Internet Szene Released auch alles nur im WinRAR Format. 😀
Exakt so ist es, und das aus gutem Grund.
So ist es!
Benutze seit über zehn Jahren 7-Zip: kann alles, Open Source und kostenlos. Wozu dann WinZip oder WinRAR kaufen oder „raub“kopieren?
Ich benutze seit 2012 WinRAR mit gekaufter Lizenz.
Nutze oft RAR Dateien und seinerzeit war es mir wert die Programmierer zu unterstützen
So ist es!
Kann ich nur unterschreiben!
Leute, das ist eine Lifetime-Lizenz, die man für, habe gerade meine Mails durchgesehen, EUR 34.74 bekommen hat (meine habe ich am 3. April 2004 (!) erworben und nutze sie heute noch).
Wo bekommt man heutzutage noch etwas (OpenSource mal außen vor) für eine einmalige Lizenzgebühr geschweige denn inkl. lebenslanger Updates?!
Geht doch alles nur noch über ein monatliches Abo….
Und nebenbei: die unrar*.dll, die den Fehler beinhaltet, wird von vielen anderen Programmen genutzt. Diese solltet Ihr ebenfalls aktualisieren! Durchsucht mal Eure Platten nach der Datei. Bei mir war es bspw. BeyondCompare
Wenn die originalen DLLs von der WINRAR Seite benutzt werden / wurden ist die Lücke dort nicht enthalten:
https://www.rarlab.com/vuln_rev3_names.html
Ah, interessante Info. War mir nicht bewusst. Vielen Dank. Naja, dennoch updaten schadet bestimmte nicht 😉
Weil 7zip nicht alles kann, was WinRAR kann. Weil WinRAR durchaus in bestimmten Anwendungsfällen besser als 7zip ist.
Das sind aber recht spezielle Anwendungsfälle. Wirklich viele Nutzer, die tatsächlich genau darauf angewiesen sind, können es nicht sein.
Auf einer anderen Seite steht das sogar Regierungen in den laufenden Hacks mit involviert sind, lass mich raten diese Regime muss man gar nicht mal so weit weg suchen?^^
Regime?
Stimmt, Russland ist gleich um die Ecke.
Ein Blick vor die Haustür genügt.
:O WAS, der Russe steht schon in Polen?
Etwa Österreich?
Nutze WinRAR noch. Gefällt mir einfach besser als 7zip.
Also zumindest hier sollte man etwas nachforschen als nur eines der sinnlosesten Internetmemes wiederzugeben. WinRAR verkauft sich sehr gut, vor allem an Unternehmen. Ich verstehe nicht warum deutsche Unternehmen die seit Jahrzehnten erfolgreich sind immer derartig kleinreden muss. Welche Software-Entwickler halten denn so lange bei so viel Konkurrenz durch?
Dieses Internetmene ist schon so absurd ausgeartet, dass sogar schon das Marketing von WinRAR darauf aufgesprungen ist und teilweise Hilfsbedürftigkeit vortäuscht. Dabei verkaufen die auch an Private über Sonderkonditionen locker tausende Lizenzen auf einen Schlag, wie zuletzt innerhalb der 9Gag-Community.
Ich habe gerade mal vor Spaß ausprobiert, wie die beiden so arbeiten. Ein Ordner mit ca. 3,5 GB gepackt, mit den eigenen Formaten. 7zip brauchte 2:35 Min, WinRAR gerade mal 35 Sek. Das ist schon ein großer Unterschied.
WIRrar ist das Maß der Dinge, auch wenn es viele Alternativen gibt.
7-Zip ist populär, aber tut default nicht das Mark of Web übernehmen.
7-Zip kann das zwar auch, seit zwei Versionen, aber es ist default nicht aktiv. Ein Manko.
Selbst verwende ich NanaZip preview, das auf 7-Zip basiert,
aber über den Microsoft Store automatisch mit Updates versorgt wird.
Mark of Web muss man auch hier manuell aktivieren.
Eine Alternative ist TC4 shell: https://www.tc4shell.com/