![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Kleiner Nachtrag zum Thema Sicherheit des Packprogramms WinZip. In einigen Programmversionen bis zur Version 24 haben die Entwickler es vers\u00e4umt, eine Verbindung zu einem Server zum Pr\u00fcfen auf Updates abzusichern. Das Arbeiten mit WinZip birgt in dieser Konstellation also ein Sicherheitsrisiko, da Updates durch Angreifer manipuliert werden k\u00f6nnten. In WinZip 25 ist das Problem aber behoben.<\/p>\n
<\/p>\n
Sicherheitsforscher Martin Rakhmanov von Trustwave ist bei der Beobachtung der Netzwerkkommunikation von WinZip 24 aufgefallen, dass das Programm Update-Pr\u00fcfanforderungen im Klartext (HTTP) sendet. Dieselbe Klartextkommunikation wird auch bei der Anzeige von Trial-Popups verwendet und k\u00f6nnte dazu genutzt werden, Malware auf die Computer der Benutzer zu \u00fcbertragen.<\/p>\n Obige Abbildung zeigt einige dieser Kommunikationsanforderungen, die Rakhmanov mitgeschnitten und in diesem Blog-Beitrag<\/a> dokumentiert hat. Da HTTP ein unverschl\u00fcsselter Kommunikationskanal ist, kann er der Datenverkehr eingesehen, abgefangen und manipuliert werden. Das bedeutet, dass Angreifer, die sich im selben Netzwerk befinden wie ein Benutzer, Techniken wie DNS-Poisoning verwenden kann, um die Anwendung dazu zu bringen, \"Update\"-Dateien von einem b\u00f6sartigen Webserver statt vom legitimen WinZip-Update-Host abzurufen. Dadurch kann theoretisch beliebiger Code gestartet als 'g\u00fcltiges Update' gestartet werden (praktisch k\u00f6nnte WinZip noch eine digitale Signatur verwenden, um zu sehen, ob es ein legitimes Update ist, und ggf. die Installation verweigern.<\/p>\n Rakhmanov ist zudem aufgefallen, dass WinZip bei der Testversion zyklisch Popus \u00f6ffnet, um den Benutzer auf den Kauf von WinZip und die Registrierung hinzuweisen. Auch diese Anzeige verwendet eine http-Verbindung.\u00a0 Diese Erkenntnisse wurden an die WinZip-Entwickler weiter gegeben.\u00a0 WinZip Version 25 verwendet ordnungsgem\u00e4\u00df HTTPS und ist nicht mehr anf\u00e4llig f\u00fcr diese Art von Angriffen. Benutzer, die kein Upgrade durchf\u00fchren k\u00f6nnen, sollten die Update-Pr\u00fcfungen in den WinZip-Einstellungen deaktivieren und manuell nach Updates suchen und diese \u00fcberpr\u00fcfen. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":" Kleiner Nachtrag zum Thema Sicherheit des Packprogramms WinZip. In einigen Programmversionen bis zur Version 24 haben die Entwickler es vers\u00e4umt, eine Verbindung zu einem Server zum Pr\u00fcfen auf Updates abzusichern. Das Arbeiten mit WinZip birgt in dieser Konstellation also ein … Weiterlesen WinZip<\/a> ist ein von Nico Mak vor entwickeltes und erstmals 1991 freigegebenes Kompressionsprogramms, welches letztendlich ein Frontend f\u00fcr das von Phil Katz geschriebenen Kompressionsprogramms PKZIP<\/a> fungiert. WinZip wurde seinerzeit als Shareware angeboten und war lange Zeit eines meiner wichtigsten Tools zum Komprimieren von Dateien. Gibt hier noch ein T-Shirt, welches ich mal pers\u00f6nlich von Nico Mak f\u00fcr diverse Aktionen zur Verbreitung von WinZip bekommen habe. Sowohl T-Shirt als auch WinZip erwiesen sich als langlebig. Das Programm steht inzwischen f\u00fcr Windows, macOS, iOS und Android zur Verf\u00fcgung. Es gibt auch eine Enterprise-Variante mit Kollaborationsfunktionen.<\/p>\n
WinZip 24 nutzt http-Verbindungen<\/h2>\n
![\"WinZip-Kommunikation\"](\"https:\/\/i.imgur.com\/tAAgeu1.png\" "\\"WinZip-Kommunikation\\"")
<\/a>
\n(Quelle: Martin Rakhmanov, Trustwave)<\/p>\n![\"WinZip-Popup\"](\"https:\/\/i.imgur.com\/ykRILHW.png\" "\\"WinZip-Popup\\"")
\n(Quelle: Martin Rakhmanov, Trustwave)<\/p>\n