[English]Kurzer Nachtrag vom Ende August 2023. Im Programm 7-Zip, welches zum Packen und Entpacken von ZIP-Archivdateien eingesetzt wird, haben Sicherheitsforscher gleich zwei Schwachstellen gefunden. Die Schwachstellen CVE-2023-40481 und CVE-2023-31102 werden vom Sicherheitsaspekt als hoch riskant eingestuft. Angreifer könnten ggf. Privilegien erhöhen.
Anzeige
Ich hatte ja Ende August im Blog-Beitrag WinRAR Code Execution-Schwachstelle CVE-2023-40477 über eine Schwachstelle in diesem Programm berichtet. Ralf hatte später im Diskussionsbereich auf Schwachstellen im Packprogramm 7-ZIP hingewiesen – und Stefan Kanthak hat mir ebenfalls eine Mail mit Hinweisen geschickt (danke dafür). Von der Zero-Day-Initiative wurden gleich zwei gravierende Schwachstellen veröffentlicht.
CVE-2023-31102
Bei CVE-2023-31102 handelt es sich um eine 7Z File Parsing Integer Underflow Remote Code Execution-Schwachstelle in 7-Zip, die mit einem CVE-Score von 7.8 eingestuft wurde (Risiko also hoch). Die Zero-Day-Initiative schreibt, dass diese Sicherheitslücke Remote-Angreifern die Ausführung von beliebigem Code auf betroffenen Installationen von 7-Zip ermöglicht. Um diese Sicherheitslücke auszunutzen, ist eine Benutzerinteraktion erforderlich, da das Ziel eine bösartige Seite besuchen oder eine bösartige Datei öffnen muss.
Der spezifische Fehler besteht in der Analyse von 7Z-Dateien. Das Problem resultiert aus dem Fehlen einer ordnungsgemäßen Validierung der vom Benutzer bereitgestellten Daten, was zu einem Integer-Unterlauf vor dem Schreiben in den Speicher führen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Code im Kontext des aktuellen Prozesses auszuführen.
CVE-2023-40481
Bei CVE-2023-40481 handelt es sich um einen SquashFS File Parsing Out-Of-Bounds Write Remote Code Execution Sicherheitslücke in 7-Zip, die mit dem CVE-Score von 7.8 eingestuft wurde (Risiko also hoch). Die Schwachstelle ermöglicht Romte-Angreifern die Ausführung von beliebigem Code auf betroffenen Installationen von 7-Zip. Um diese Sicherheitslücke auszunutzen, ist ebenfalls eine Benutzerinteraktion erforderlich, da das Ziel eine bösartige Seite besuchen oder eine bösartige Datei öffnen muss.
Anzeige
Die spezifische Schwachstelle entsteht während der Analyse von SQFS-Dateien, weil eine ordnungsgemäße Validierung der vom Benutzer bereitgestellten Daten fehlt. Das kann dazu führen, dass ein Schreibvorgang das Ende eines zugewiesenen Puffers überschreitet. Ein Angreifer kann diese Schwachstelle ausnutzen, um Code im Kontext des aktuellen Prozesses auszuführen.
Patch verfügbar
Beide Schwachstellen wurden am 21. November 2022 an die 7-ZIP-Entwickler gemeldet und laut der Zero-Day-Initiative vom 23. August 2023 mit einem Update der Software auf die Version 23.00 (damals noch Beta) geschlossen. Wer das Programm verwendet, sollte also auf eine neuere Version aktualisieren. Auf der Download-Seite gibt es inzwischen die 23.01.
Anzeige
Im letzten Absatz steht ein bisschen zu viel „23".
Ich habe mir gerade die portable Version 23.01 heruntergeladen, aber die wird noch auf 20.6.23 datiert. Sofern der Entwickler nicht rückwärts zählt, kann es nicht sein, dass die genannten Fehler in einer „Version 23.00" behoben wurden.
Ich habe den letzten Abschnitt etwas umformuliert, da missverständlich und ein falsches Jahr bzgl. der Meldung der Schwachstellen in den Text gerutscht war. Die Version 23 vom Mai (damals noch Beta) korrigiert den Bug. Aktuell ist die Version 23.01 vom Juni 2023, die den Fix auch enthält. Am 23. August 2023 wurde das Ganze dann wohl öffentlich gemacht. Siehe auch den Beitrag von heise.
Passt eigentlich alles. Die Version 23.01 wurde tatsächlich aus dem Juni 2023. Schon zu dem Zeitpunkt wurde die Sicherheitslücke final geschlossen. Eigentlich sogar schon im Mai mit der Version 23.00.
Warum Heise und Co. erst jetzt darüber berichten…. keine Ahnung.
vermutlich wegen der RAR Sache und weil 7-zip sich selbst nicht automatisch aktualisiert.
Letzter Satz: Weil der Entdecker der Schwachstelle es erst Ende August 2023 offen gelegt hat.
NanaZip soll auch demnächt gefixt werden
https://github.com/M2Team/NanaZip/issues/330
https://github.com/M2Team/NanaZip/issues/331
Habe den Hinweis auf ein Update auch in der Mitteilungszentrale von Kaspersky Internet Security. Nach dem Klicken auf anzeigen wird es mir dann angeboten.
Habe momentan noch 7-Zip 22.01 Installiert und werde auf Version 23.01 aktualisieren.