Micropatch für die UNACEV2.DLL-Schwachstelle

Kleiner Hinweis für Leute, die Entpacker wie WinRAR einsetzen und auf das ACE-Format angewiesen sind oder die entdeckte Schwachstelle (CVE-2018-20250) in UNACEV2.DLL nicht beheben können. Es gibt einen Mikro-Patch zum Fixen der Schwachstelle.


Anzeige

Ich hatte über die betreffende Sicherheitslücke (CVE-2018-20250) in der Datei UNACEV2.DLL, die von diversen Programmen wie WinRAR benutzt wird, im Blog-Beitrag Schwachstelle in UNACEV2.DLL gefährdet WinRAR & Co. berichtet. In WinRAR haben die Entwickler die Bibliothek kurz entschlossen raus geworfen und verzichten in der neuen WinRAR-Version auf den ACE-Support. Hintergrund ist, dass die Entwickler bei RARLAB nicht den Quellcode für die betroffene DLL hat. Man hat sich daher entschieden, die DLL aus seinem Produkt zu entfernen

Bei Virenscannern oder Anwendungen, die Archive im ACE-Format entpacken müssen, gibt es damit aber ein Sicherheitsproblem. Man kann die DLL nicht entfernen, ist unter Windows aber angreifbar. Die Leute von 0patch haben mich zum Wochenende angemailt:

Ich habe Ihren Artikel über die aktuelle WinRAR-Schwachstelle im Zusammenhang mit ACE-Dateien gesehen und dachte, Sie könnten auch daran interessiert sein, dass RARLAB zwar nicht den Quellcode für die betroffene DLL hat und sich daher entschieden hat, sie aus seinem Produkt zu entfernen.

Wir bei 0patch haben aber die Schwachstelle [durch einen] Micropatch [geschlossen]. Mit diesem kostenlosen Micropatch können Benutzer, die WinRAR nicht aktualisieren wollen oder nicht einmal wissen, dass es eine Schwachstelle gibt, die Schwachstelle so schließen, dass sie nicht mehr ausgenutzt werden kann.

Das trifft natürlich auch auf alle Software zu, die die betreffende DLL verwendet. Details zum Sachverhalt sowie zum Micropatch finden sich auf dieser Blog-Seite von 0patch.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Micropatch für die UNACEV2.DLL-Schwachstelle

  1. Nobody Private sagt:

    Hmm, hab extra 0patch neu installiert, Rechner neu gestartet und die unacev2.dll Version 2.6.0 mit install date 08.2018 vom total commander (32 Bit installiert) wird trotzdem nicht als ge-„patched" angezeigt.
    Trotz Refresh wird der Patch #353 nicht geladen

  2. Nobody Private sagt:

    Okay, Patch ist vor 3 Stunden eingetrudelt nur aktiv wurde noch nicht obwohl TC neu gestartet.
    Mal sehen.

  3. Nobody Private sagt:

    Gerade den Totalcommander 9.22rc1 bekommen, der bringt eine gefixte Version von der UNACEV2.DLL (v2.6.1.0) mit, sieht so aus als ob die direkt von Winace kommt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.