Fehler beim Auspacken von Archiven sind kritisch, weil sie sich besonders einfach ausnutzen lassen – etwa wenn die Antiviren-Software nach Schadcode sucht. Umso bitterer ist es, wenn die sich fünf Jahre nach ihrer Entdeckung noch ausnutzen lassen.

Der Fehler in der Speicherverwaltung beim Entpacken von RAR-Archiven wurde ursprünglich Sophos gemeldet und dort auch behoben – und zwar bereits 2012. Dummerweise klappte die Kommunikation mit den anderen Betroffenen nicht. So steckte der Bug immer noch in der vom Hersteller Rarlab bereitgestellten Bibliothek. Er fand so seinen Weg auch in die AV-Software von Bitdefender und wahrscheinlich viele andere Programme.

Entdeckt hatte das Problem ursprünglich Tavis Ormandy, dem es 2012 bei eine Analyse der Sophos-AV-Software auffiel. Er meldete den sogenannten VMSF_DELTA-Fehler mit einer ganzen Reihe weiterer Probleme bei Sophos, die auch prompt reagierten und ihre Software patchten. Dass der Fehler bis Juni 2017 immer noch im Code in der Bibliothek der RAR-Entwickler steckt, machte jetzt erst Thomas Dullien (manchen bekannt als Halvar Flake) von Google öffentlich. Er informierte Rarlab, die jetzt ebenfalls mit einer fehlerbereinigten Version unrarsrc-5.5.5.tar.gz reagierten. BitDefenders AV setzte bis vor kurzem die verwundbare RAR-Bibliothek ein und war somit ebenfalls anfällig.

Verbreitete Lücke zieht Kreise

Dullien weist darauf hin, dass "eine ganze Reihe" von Herstellern betroffen seien. Mit dem von ihm bereit gestellten Demo-Archiv gelang es heise Security auch prompt, etwa den Archiv-Manager und das Tool unrar von Ubuntu zum Absturz zu bringen; 7zip für Windows und Microsofts Defender zeigten sich hingegen unbeeindruckt. Allerdings fanden und beseitigten die RAR-Entwickler auch gleich noch diverse weitere Bugs. Wer also RAR-Code in seiner Software einsetzt, sollte diesen jetzt unbedingt aktualisieren.

Am Rande noch interessant: Dullien vermeidet es in seinen Berichten zum VMSF_DELTA-Fehler penibel, dessen Entdecker zu nennen; selbst der sonst übliche Link zum ursprünglichen Bug-Report fehlt. Den hatte Tavis Ormandy verfasst. Warum Dullien ausgerechnet seinem Google-Kollegen die sonst üblichen Credits verwehrt, öffnet Raum für Spekulationen, auf die hier nicht weiter eingegangen werden soll. (ju)