image

WinRAR stopt ondersteuning ACE-formaat wegens lek

woensdag 20 februari 2019, 16:16 door Redactie, 9 reacties

De ontwikkelaars van de populaire archiefsoftware WinRAR hebben besloten om de ondersteuning van het ACE-formaat te stoppen wegens een beveiligingslek. ACE is net als ZIP en RAR een archiefformaat. De DLL-library die WinRAR gebruikte voor het uitpakken van ACE-bestanden was al 14 jaar niet meer bijgewerkt en bevatte verschillende kwetsbaarheden, zo ontdekten onderzoekers van securitybedrijf Check Point.

Hierdoor was het in het ergste geval mogelijk voor een aanvaller om via een kwaadaardig archief een bestand, bijvoorbeeld malware, in de startup-map van Windows te plaatsen. Dit bestand zou bij een herstart van het systeem worden uitgevoerd en de aanvaller volledige controle over de computer kunnen geven. Aangezien de gebruikte DLL-library al sinds 2005 niet meer wordt ondersteund en het WinRAR-team geen toegang tot de broncode heeft is besloten om de ondersteuning van ACE uit veiligheidsoverwegingen in WinRAR 5.70 beta 1 en nieuwer te stoppen.

Volgens de ontwikkelaars van WinRAR wordt het programma door meer dan 500 miljoen mensen wereldwijd gebruikt. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat laat zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is. Het is daardoor ook een aantrekkelijk doelwit voor aanvallers. Vorig jaar oktober loofde een bedrijf dat zero-days van onderzoekers inkoopt nog een beloning uit van 100.000 dollar voor zero-days in WinRAR.

Image

Reacties (9)
20-02-2019, 16:23 door Bladie
Goed besluit. Men had ook kunnen besluiten om een eigen, open source, versie van de ACE-compressie te maken (mits mogelijk i.v.m. copyright). Voor een $100k zijn er heel wat getalenteerde programmeurs die aan de slag gaan.
20-02-2019, 16:33 door Anoniem
Voor een $100k zijn er heel wat getalenteerde programmeurs die aan de slag gaan.

Nutteloos, daarvoor moeten veel te veel WinRAR licenties worden verkocht.

De genoemde $100k is voor hackers die een lek weten te vinden en dat wordt betaald door een derde partij die zero days verkoopt.
20-02-2019, 16:37 door Anoniem
Door Bladie: Goed besluit. Men had ook kunnen besluiten om een eigen, open source, versie van de ACE-compressie te maken (mits mogelijk i.v.m. copyright). Voor een $100k zijn er heel wat getalenteerde programmeurs die aan de slag gaan.

Gelukkig is copyright op een API (of bestandsspecificatie) geen beperking om zelf een parser te maken (in tegenstelling tot in de Verenigde Staten, zie Oracle vs. Google).

In het geval van WinRAR lijkt het te gaan om alleen decompressie. Er zijn meerdere vrije implementaties van UnACE, waaronder:
AceFile https://www.roe.ch/acefile - leest Ace 1.0- en 2.0-archieven
unace 1.0 http://http.debian.net/debian/pool/main/u/unace/unace_1.2b.orig.tar.gz - GPLv2 - Debian source
unace 2.0 http://http.debian.net/debian/pool/non-free/u/unace-nonfree/unace-nonfree_2.5.orig.tar.gz - Public UnAce License - Debian non-free source
20-02-2019, 16:44 door Hyper
Door Bladie: Goed besluit. Men had ook kunnen besluiten om een eigen, open source, versie van de ACE-compressie te maken (mits mogelijk i.v.m. copyright). Voor een $100k zijn er heel wat getalenteerde programmeurs die aan de slag gaan.

Maar is het waard om $ 100k uit te gaan geven voor ondersteuning van een archiefformaat wat nauwelijks nog gebruikt wordt?
20-02-2019, 16:46 door Bladie
Maar is het waard om $ 100k uit te gaan geven voor ondersteuning van een archiefformaat wat nauwelijks nog gebruikt wordt?
Dat is inderdaad een goed punt maar je zou kunnen besluiten om alleen een lees/unpack-optie te implementeren.
20-02-2019, 17:24 door Anoniem
Door Bladie: Goed besluit. Men had ook kunnen besluiten om een eigen, open source, versie van de ACE-compressie te maken (mits mogelijk i.v.m. copyright).
Lees nog eens? "en het WinRAR-team geen toegang tot de broncode heeft"
ACE is proprietary software dus helaas.
20-02-2019, 22:54 door Anoniem
Door Hyper:
Door Bladie: Goed besluit. Men had ook kunnen besluiten om een eigen, open source, versie van de ACE-compressie te maken (mits mogelijk i.v.m. copyright). Voor een $100k zijn er heel wat getalenteerde programmeurs die aan de slag gaan.

Maar is het waard om $ 100k uit te gaan geven voor ondersteuning van een archiefformaat wat nauwelijks nog gebruikt wordt?
Eens.

Eerlijk gezegd was mij het ACE archief formaat totaal onbekend en ik zit al bijna 20 jaar in de ICT.
21-02-2019, 08:37 door Anoniem
Door Anoniem: In het geval van WinRAR lijkt het te gaan om alleen decompressie. Er zijn meerdere vrije implementaties van UnACE, waaronder:
De tweede en derde die je noemt zijn van de maker van WinACE, en dat lijkt ook te zijn wat in WinRAR gebruikt is. Het zou, gezien de licentie en de ondersteunde ACE-versies, de derde kunnen zijn. De functie GetDevicePathLen die Check Point beschrijft zit erin, maar de functie CleanPath die ze noemen niet. De versie die WinRAR gebruikt bevat dus al een poging de kwetsbaarheid te repareren, maar die is niet goed genoeg.

Verder ontbreekt een make-file voor de DLL in de broncode die Debian levert. De root-directory na uitpakken van de broncode heeft een datum in 2005, hetzelfde jaar als het artikel noemt, maar de broncode zelf stamt uit 2000-2003 en is dus ouder. Het lijkt erop dat men bij WinRAR over meer broncode kan beschikken dan men misschien beseft, al lijkt het niet de nieuwste te zijn. Maar het is de vraag of dit formaat nog veel inspanning waard is, natuurlijk.

De gevonden path traversal-bug beperkt zich niet tot WinRAR maar zal in alle code zitten die op de WinACE-implementaties gebaseerd is. Inclusief het pakket in Debian.

PS. Je noemde het alle drie vrije implementaties. Alleen de tweede, met GPLv2 als licentie, is vrije software volgens de definitie van de Free Software Foundation. De Python-implementatie uit je eerste link gebruikt een BSD-licentie (wel open source, niet vrij) en de derde heeft een licentie waarvan ik ernstig betwijfel of die aan de definities van vrije of open source-software voldoet. Debian plaatst hem niet voor niets in non-free.
21-02-2019, 08:48 door Anoniem
Ik heb in 20 jaar nog nooit ACE gebruikt, dus zal het ook niet missen.

Betwijfel of dat nog gebruikt word,. online zie je alleen .zip - en heel af en toe eens een .rar bestand.
Vaak ook nog wel .exe or tar.gz
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.