WinZip macht Windows 2000 unsicher
Die Versionen WinZip 11.0, 11.1 und 11.2 enthalten eine verwundbare Version von Microsofts Grafikbibliothek gdiplus.dll. Der Fehler kann beim Anschauen präparierter Bilder dazu führen, dass der Rechner infiziert wird.
- Daniel Bachfeld
Der Hersteller WinZip weist auf ein Sicherheitsproblem im Zusammenhang mit Windows 2000 und seinem Packer-Programm hin. Offenbar enthalten die Versionen WinZip 11.0, 11.1 und 11.2 eine verwundbare Version von Microsofts Grafikbibliothek gdiplus.dll. Der Fehler kann beim Anschauen präparierter Bilder dazu führen, dass der Rechner infiziert wird. Bei der Installation der fehlerhaften Version platziert WinZip die Datei gdiplus.dll im WinZip-Programmverzeichnis.
Zwar wird die Datei unabhängig vom Betriebssystem bei den fehlerhaften Version immer im WinZip-Programmverzeichnis installiert, allerdings nutzt der Packer sie nur unter Windows 2000 zur Vorschau von Bildern in Archiven. WinZip-Versionen vor 11.0 sollen die fehlerhafte Bibliothek laut Hersteller nicht enthalten. Unklar ist allerdings, auf welche Schwachstelle sich der Hersteller bezieht. Zuletzt korrigierte Microsoft einen Fehler in der Library am vorigen September-Patchday.
Das Service Release WinZip 11.2 SR-1 und WinZip 12 beheben den Fehler und tauschen bei der Installation unter Windows 2000 die verwundbaren gdiplus-Versionen gegen neue, korrigierte Fassungen aus. Unter Windows XP und Vista wird die Datei einfach gelöscht, da sie nicht benötigt wird. Alternativ kann der Anwender sie unter XP und Vista auch manuell löschen.
Das Problem mit verschiedenen DLL-Versionen unter Windows (auch DLL-Hell genannt) vereitelte bereits Ende 2004 das zuverlässige Stopfen von Sicherheitslöchern. Damals war ebenfalls die gdiplus.dll betroffen, die im Lieferumfang verschiedener Programme enthalten war und an den verschiedensten Stellen im System abgelegt wurde.
Siehe dazu auch:
- WinZip 11.2 SR-1 (Build 8261), Warnung von WinZip
(dab)
