WinRAR stopt ondersteuning ACE-formaat wegens lek
De ontwikkelaars van de populaire archiefsoftware WinRAR hebben besloten om de ondersteuning van het ACE-formaat te stoppen wegens een beveiligingslek. ACE is net als ZIP en RAR een archiefformaat. De DLL-library die WinRAR gebruikte voor het uitpakken van ACE-bestanden was al 14 jaar niet meer bijgewerkt en bevatte verschillende kwetsbaarheden, zo ontdekten onderzoekers van securitybedrijf Check Point.
Hierdoor was het in het ergste geval mogelijk voor een aanvaller om via een kwaadaardig archief een bestand, bijvoorbeeld malware, in de startup-map van Windows te plaatsen. Dit bestand zou bij een herstart van het systeem worden uitgevoerd en de aanvaller volledige controle over de computer kunnen geven. Aangezien de gebruikte DLL-library al sinds 2005 niet meer wordt ondersteund en het WinRAR-team geen toegang tot de broncode heeft is besloten om de ondersteuning van ACE uit veiligheidsoverwegingen in WinRAR 5.70 beta 1 en nieuwer te stoppen.
Volgens de ontwikkelaars van WinRAR wordt het programma door meer dan 500 miljoen mensen wereldwijd gebruikt. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat laat zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is. Het is daardoor ook een aantrekkelijk doelwit voor aanvallers. Vorig jaar oktober loofde een bedrijf dat zero-days van onderzoekers inkoopt nog een beloning uit van 100.000 dollar voor zero-days in WinRAR.
Nutteloos, daarvoor moeten veel te veel WinRAR licenties worden verkocht.
De genoemde $100k is voor hackers die een lek weten te vinden en dat wordt betaald door een derde partij die zero days verkoopt.
Gelukkig is copyright op een API (of bestandsspecificatie) geen beperking om zelf een parser te maken (in tegenstelling tot in de Verenigde Staten, zie Oracle vs. Google).
In het geval van WinRAR lijkt het te gaan om alleen decompressie. Er zijn meerdere vrije implementaties van UnACE, waaronder:
AceFile https://www.roe.ch/acefile - leest Ace 1.0- en 2.0-archieven
unace 1.0 http://http.debian.net/debian/pool/main/u/unace/unace_1.2b.orig.tar.gz - GPLv2 - Debian source
unace 2.0 http://http.debian.net/debian/pool/non-free/u/unace-nonfree/unace-nonfree_2.5.orig.tar.gz - Public UnAce License - Debian non-free source
Maar is het waard om $ 100k uit te gaan geven voor ondersteuning van een archiefformaat wat nauwelijks nog gebruikt wordt?
ACE is proprietary software dus helaas.
Maar is het waard om $ 100k uit te gaan geven voor ondersteuning van een archiefformaat wat nauwelijks nog gebruikt wordt?
Eerlijk gezegd was mij het ACE archief formaat totaal onbekend en ik zit al bijna 20 jaar in de ICT.
Verder ontbreekt een make-file voor de DLL in de broncode die Debian levert. De root-directory na uitpakken van de broncode heeft een datum in 2005, hetzelfde jaar als het artikel noemt, maar de broncode zelf stamt uit 2000-2003 en is dus ouder. Het lijkt erop dat men bij WinRAR over meer broncode kan beschikken dan men misschien beseft, al lijkt het niet de nieuwste te zijn. Maar het is de vraag of dit formaat nog veel inspanning waard is, natuurlijk.
De gevonden path traversal-bug beperkt zich niet tot WinRAR maar zal in alle code zitten die op de WinACE-implementaties gebaseerd is. Inclusief het pakket in Debian.
PS. Je noemde het alle drie vrije implementaties. Alleen de tweede, met GPLv2 als licentie, is vrije software volgens de definitie van de Free Software Foundation. De Python-implementatie uit je eerste link gebruikt een BSD-licentie (wel open source, niet vrij) en de derde heeft een licentie waarvan ik ernstig betwijfel of die aan de definities van vrije of open source-software voldoet. Debian plaatst hem niet voor niets in non-free.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.