Sicherheitsproblem in WinZip [2. Update]

Die Firma iDefense hat ein Advisory zu einem möglichen Buffer Overflow in dem Archiv-Tool WinZip veröffentlicht. Der Fehler lässt sich durch speziell präparierte Archiv-Dateien ausnutzen, um Code auszuführen. Öffnet ein WinZip-Nutzer eine solche Datei, beispielsweise indem er auf ein entsprechendes Mail-Attachment klickt, kann er sich auf diese Art sogar einen Virus einhandeln.

Gefährlich sind die Archivtypen .mim, .uue, .uu, .b64, .bhx, .hqx und .xxe, die der eingebaute Decoder UUDeview behandelt. Der Fehler existiert in allen WinZip-Versionen ab 6.2 bis hin zur letzten Beta-Version 9.0. In der aktuellen Release 9.0 ist der Fehler beseitigt.

Das betroffene Modul beruht auf dem Unix-Tool UUDeview, das unter anderem auch der KDE-Mailer KMail nutzt. Es ist nicht auszuschließen, dass diese UUDeview-Versionen von dem Problem auch betroffen sind.

Update:
Der Maintainer von KMail, Ingo Klöcker, hat gegenüber heise Security klargestellt, dass weder KMail noch andere KDE-Applikationen von dem Problem in UUDeview betroffen seien. Die UUDeview-Bibliothek uulib wurde lediglich in einer sehr alten Version des News-Readers krn genutzt (KDE 1.x) und ist seit KDE 2.0 nicht mehr Bestandteil von KDE. Eine Stellungnahme des UUDeview-Maintainers steht noch aus.

2. Update:
Der UUDeview-Maintainer Frank Pilhofer hat auf Nachfragen von heise Security bestätigt, dass sein Tool den Buffer Overflow ebenfalls enthält und stellt ab sofort eine bereinigte Version 0.5.20 auf seiner Website bereit.

Siehe dazu auch: (ju)

• Security Advisory von iDefense
• WinZip-Security Advisory