Sicherheitslücken in ZIP-Programmen
DynaZip, TurboZIP und PowerArchiver sind Software-Lösungen zum Umgang mit Dateiarchiven, die unter anderem das ZIP-Format unterstützen.
Die bekannten Schwachstellen in diesen drei Produkten können dazu ausgenutzt werden, dass bei der Verarbeitung von manipulierten ZIP-Archiven schädliche Kommandos ausgeführt werden. Die schädlichen Fehler werden ausgelöst, wenn ein Anwender bestimmte Aktionen mit einer präparierten ZIP-Datei ausführt, wie z.B. das Öffnen oder Reparieren eines Archivs. Ferner kann es zu Problemen kommen, wenn Dateien zu einem präparierten Archiv hinzugefügt werden. Anschließend kann der Autor des ZIP-Archives beliebige Befehle auf dem Computer des Anwenders ausführen.
Betroffene Systeme
- PowerArchiver, Versionen vor 9.63
- TurboZIP, Versionen vor dem 23.7.2006
- DynaZip Max mit DZIP32.DLL-Versionen vor 5.0.0.8
- DynaZip Max Secure mit DZIPS32.DLL-Versionen vor 6.0.0.5
Empfehlung
Installieren der aktualisierten Versionen!
Die Version 9.63 von PowerArchiver gibt es hier
http://www.powerarchiver.com/download/
Die aktuelle TurboZIP-Version vom 23.7.2006 hier
http://www.filestream.com/turbozip/downloads.html
Updates für DynaZip-Produkte dort
http://www.innermedia.com/newversion.html
Quelle
(Buerger-Cert)