Update behebt kritische Programmschwachstelle in WinRAR
Eine Schwachstelle im Archivierungsprogramm WinRAR hat die Ausführung von Fremdcode nach dem Öffnen eines präparierten Archivs ermöglicht. Ein Update soll diese und eine weitere Schwachstelle in der Software beheben.

Für eine als hochgradig gefährlich eingestufte Schwachstelle (CVE-2023-40477) in WinRAR steht ein Patch bereit. Wie "Bleeping Computer" berichtet, ermöglicht es die Schwachstelle kriminellen Hackern, auf Zielsystemen beliebigen Code auszuführen, wenn Nutzerinnen und Nutzer ein präpariertes RAR-Archiv öffnen.
Die Schwachstelle wurde vom Zero-Day-Initiative-Forscher "Goodbyeselene" entdeckt und am 8. Juni an Rarlab, den Entwickler des Packprogramms, weitergeleitet. Die Schwachstelle resultierte aus einem Fehler, welcher bei der Verarbeitung von Recovery Volumes auftritt. Durch eine unzureichende Überprüfung der Eingabedaten war Zugriff auf Speicherbereiche ausser der eigentlich zugeordneten Puffer möglich, wie "Bleeping Computer" schreibt. So lasse sich Code in den Kontext des laufenden Prozess einschleusen.
Mit dem am 2. August veröffentlichten Update WinRAR 6.23 soll die Schwachstelle nun behoben sein. Nutzer und Nutzerinnen des Programms werden dazu angehalten, umgehend auf diese Version Wechseln. Zudem behebe das Update einen weiteren Fehler, bei dem präparierte Archive die falschen Dateien ausführen könnten - eine weitere als hochgradig problematisch eingestufte Schwachstelle.
Erst kürzlich machten hiesige Behörden unangenehme Erfahrungen mit kritischen Softwareschwachstellen. So flossen aufgrund einer Schwachstelle in Mobileiron Daten der Kapo Bern ab. Hier erfahren Sie mehr.

Die "Eislutschka"-Saison kann kommen

Zurich übernimmt kanadisches Insurtech Boxx

Eine der aktivsten Ransomware-as-a-Service-Banden streicht die Segel

Ingram Micro wird Opfer eines Ransomwareangriffs

Securosys expandiert in die USA

Update: Bundesrat bewilligt weitere Gelder für Datenverbundsystem

Wieso die KI nur in Albträumen zum wahren Schrecken wird

Schweizer Banken versagen bei Betrugsnotfällen

Cybergauner fluten die Schweiz mit Echtzeit-Phishing
