Kleiner Hinweis für Leute, die Entpacker wie WinRAR einsetzen und auf das ACE-Format angewiesen sind oder die entdeckte Schwachstelle (CVE-2018-20250) in UNACEV2.DLL nicht beheben können. Es gibt einen Mikro-Patch zum Fixen der Schwachstelle.
Anzeige
Ich hatte über die betreffende Sicherheitslücke (CVE-2018-20250) in der Datei UNACEV2.DLL, die von diversen Programmen wie WinRAR benutzt wird, im Blog-Beitrag Schwachstelle in UNACEV2.DLL gefährdet WinRAR & Co. berichtet. In WinRAR haben die Entwickler die Bibliothek kurz entschlossen raus geworfen und verzichten in der neuen WinRAR-Version auf den ACE-Support. Hintergrund ist, dass die Entwickler bei RARLAB nicht den Quellcode für die betroffene DLL hat. Man hat sich daher entschieden, die DLL aus seinem Produkt zu entfernen
Bei Virenscannern oder Anwendungen, die Archive im ACE-Format entpacken müssen, gibt es damit aber ein Sicherheitsproblem. Man kann die DLL nicht entfernen, ist unter Windows aber angreifbar. Die Leute von 0patch haben mich zum Wochenende angemailt:
Ich habe Ihren Artikel über die aktuelle WinRAR-Schwachstelle im Zusammenhang mit ACE-Dateien gesehen und dachte, Sie könnten auch daran interessiert sein, dass RARLAB zwar nicht den Quellcode für die betroffene DLL hat und sich daher entschieden hat, sie aus seinem Produkt zu entfernen.
Wir bei 0patch haben aber die Schwachstelle [durch einen] Micropatch [geschlossen]. Mit diesem kostenlosen Micropatch können Benutzer, die WinRAR nicht aktualisieren wollen oder nicht einmal wissen, dass es eine Schwachstelle gibt, die Schwachstelle so schließen, dass sie nicht mehr ausgenutzt werden kann.
Das trifft natürlich auch auf alle Software zu, die die betreffende DLL verwendet. Details zum Sachverhalt sowie zum Micropatch finden sich auf dieser Blog-Seite von 0patch.
Anzeige
Hmm, hab extra 0patch neu installiert, Rechner neu gestartet und die unacev2.dll Version 2.6.0 mit install date 08.2018 vom total commander (32 Bit installiert) wird trotzdem nicht als ge-„patched" angezeigt.
Trotz Refresh wird der Patch #353 nicht geladen
Okay, Patch ist vor 3 Stunden eingetrudelt nur aktiv wurde noch nicht obwohl TC neu gestartet.
Mal sehen.
Gerade den Totalcommander 9.22rc1 bekommen, der bringt eine gefixte Version von der UNACEV2.DLL (v2.6.1.0) mit, sieht so aus als ob die direkt von Winace kommt.