Filzip patzt bei diversen Archiven
Eine Schwachstelle in Filzip ermöglicht Angreifern beim Entpacken von rar-, tar-, jar- und gz-Archiven das Überschreiben von Dateien im System.
Der weit verbreitete, kostenlose Universalpacker Filzip enthält eine Directory-Traversal-Schwachstelle beim Entpacken von rar-, tar-, jar- und gz-Dateien. Mit präparierten Archiven könnten Angreifer so unter Umständen Dateien im System überschreiben.
Der Fehler betrifft die vor Kurzem erschienene Version 3.05 von Filzip, möglicherweise sind auch ältere Versionen anfällig. Die Version 3.05 schloss bereits eine Sicherheitslücke beim Verarbeiten von ace-Archiven, die auch in vielen anderen Packern durch die Verwendung der Bibliothek unacev2.dll auftrat.
Wann eine neue Version des Packers zum Download bereitsteht, ist noch unklar. Bis dahin sollte man die betroffenen Archivtypen mit Filzip nur mit eingeschränkten Benutzerrechten entpacken oder auf das Dekomprimieren mit Filzip verzichten, wenn die komprimierten Dateien aus nicht-vertrauenswürdigen Quellen stammen.
Siehe dazu auch: (dmk)
- FilZip Multiple Archive Directory Traversal Vulnerability, Sicherheitsmeldung von Secunia