09.06.2006 15:32
Filzip patzt bei diversen Archiven
Der weit verbreitete, kostenlose Universalpacker Filzip enthält eine Directory-Traversal-Schwachstelle beim Entpacken von rar-, tar-, jar- und gz-Dateien. Mit präparierten Archiven könnten Angreifer so unter Umständen Dateien im System überschreiben.
Der Fehler betrifft die vor Kurzem erschienene Version 3.05 von Filzip, möglicherweise sind auch ältere Versionen anfällig. Die Version 3.05 schloss bereits eine Sicherheitslücke beim Verarbeiten von ace-Archiven, die auch in vielen anderen Packern durch die Verwendung der Bibliothek unacev2.dll auftrat.
Wann eine neue Version des Packers zum Download bereitsteht, ist noch unklar. Bis dahin sollte man die betroffenen Archivtypen mit Filzip nur mit eingeschränkten Benutzerrechten entpacken oder auf das Dekomprimieren mit Filzip verzichten, wenn die komprimierten Dateien aus nicht-vertrauenswürdigen Quellen stammen.
Siehe dazu auch:
(dmk)
- FilZip Multiple Archive Directory Traversal Vulnerability, Sicherheitsmeldung von Secunia
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
