Beveiligingsprobleem in oudere versies van WinZip

iDefense meldt een beveiligingslek in oudere versies van het archiveringsprogramma WinZip. Door het lek is het mogelijk code uit te voeren op computers waarop een archief met WinZip geopend wordt. Het gaat om MIME-archieven, die gewoonlijk extensies als mim, uue, uu, b64, bhx, hqx en xxe hebben. Wanneer in de parameters van MIME-archieven strings worden gebruikt die te lang zijn, zal WinZip tijdens de verwerking daarvan crashen door een buffer overflow. Kwaadwillenden kunnen van deze fout gebruik maken om eigen instructies uit te laten voeren wanneer zulke archieven worden geopend.

WinZip Het beveiligingsprobleem doet zich niet meer voor in de nieuwste release van WinZip 9.0, maar wel in oudere versies van het programma. iDefense heeft de fout in ieder geval aangetroffen in versie 8.1 en de laatste betaversie van WinZip 9.0. Begin februari is de maker van de software, WinZip Computing, op de hoogte gesteld. Het gevaar schuilt hem in het gemak waarmee archieven worden geopend, omdat deze over het algemeen als veilig worden gezien. Er wordt daarom geadviseerd de koppelingen tussen de eerder genoemde extensies en het programma te verwijderen in Windows, tenzij de nieuwste versie van WinZip wordt gebruikt.

Reacties (61)

Atomsk 29 februari 2004 15:18

Mime archieven worden over het algemeen gedecodeerd door het E-mailprogramma zelf, als iemand je zo'n bijlage stuurd. Als bestand op peer2peer netwerken tref je vrijwel geen .b64 e.d. aan om de simpele reden dat dit een bestand alleen maar groter maakt. Ik denk dat het risico dus nog wel meevalt.

Alleen wormvirus-schrijvers zouden er misbruik van kunnen maken door bijv een virus zip-bestanden laten mailen met daarin een geprepareerd b64 bestand.

Anoniem: 89337 29 februari 2004 15:45

Hoe zit dat nu met de ingebakken ZIP functionaliteit in Windows XP

tweakerbee @Anoniem: 89337 • 29 februari 2004 15:51

Daar zit vooralsnog geen bug in. Het gaat hier echt specifiek om de problemen met MIME encoded archieven in combinatie met Winzip < 9.0 gold.

YaPP @Anoniem: 89337 • 29 februari 2004 21:37

Hoe zit dat nu met de ingebakken ZIP functionaliteit in Windows XP

RTFA:

Het gaat om MIME-archieven, die gewoonlijk extensies als mim, uue, uu, b64, bhx, hqx en xxe hebben. (...) Er wordt daarom geadviseerd de koppelingen tussen de eerder genoemde extensies en het programma te verwijderen in Windows, tenzij de nieuwste versie van WinZip wordt gebruikt.

Bovendien ondersteund de ZIP tool van Windows XP alleen .zip files, en ik durf toch aan te nemen dat beide tools (WinZIP/XP-ZIP) niet dezelfde source-code delen, dus ook niet dezelfde bugs hebben!

Anoniem: 97293 29 februari 2004 15:18

Is toch vreemd dat juist nu versie 9 komt. er gewaarschuwd wordt voor een beveiligingslek.

8.0 is al zeker 3 jaar op de markt.
de vraag is nu natuurlijk: hebben ze het al een tijdje geweten?

Koffie @Anoniem: 97293 • 29 februari 2004 15:45

Waarom ziet iedere tweaker in alles kartelvorming, monopolie organisatie en andere complot theorien

Begin februari is de maker van de software, WinZip Computing, op de hoogte gesteld

tweakerbee @Koffie • 29 februari 2004 15:49

Koffie hoort bij het WinZip-bug-complot! Heeelp! Bannen die hap!

kingfinn @Anoniem: 97293 • 29 februari 2004 20:31

weet je wat ik denk; die bug zit er al sinds versie 1 in, en in elke zip zit een supergeheime code en elke keer als je iets unzipt start er een klein programmatje op die je gevenens, gebruikte serials, en alle adressen in je adresboek doorstuurt naar Winzip, en die gegevens en email aressen verkopen ze aan spammers, en die serials gebruiken ze want ze hebben ook nog warez site's waaraan ze geld verdienen. Maar iemand is erachter gekomen en zou eht openbaar maken als winzip ze geen 3 miljard gaf, wat ze niet deden. en toen heeft die snel het bedrijf iDefense om dit bekend te maken, wat die n dus deed, en nu geeft winzip hem dus geld om de rest niet bekent te maken.
</complot theorie>

YaPP @Anoniem: 97293 • 29 februari 2004 21:32

Is toch vreemd dat juist nu versie 9 komt. er gewaarschuwd wordt voor een beveiligingslek.

m.a.w. ze brengen dit pas openbaar als ze een oplossing hebben. Soms is dat wel zo handig.

Anoniem: 573 @Anoniem: 97293 • 29 februari 2004 19:47

Ze hebben het altijd al geweten vermoedelijk.
Ik denk zefs dat ze dit met opzet in hebben gebouwd
in hun source code. Nu we toch met complot
theorien bezig zijn.

Boss

29 februari 2004 15:13

Er wordt daarom geadviseerd de koppelingen tussen de eerder genoemde extensies en het programma te verwijderen in Windows, tenzij de nieuwste versie van WinZip wordt gebruikt.

Vraag me af hoeveel mensen dat goedbedoelde advies gaan volgen. Ik vind dit bericht ook een beetje paniekzaaien, wat helemaal niet nodig is.

Vanwege de vele virussen die de laatste tijd rondgaan is iedereen toch al bekend met het fenomeen 'geen bestanden van vreemden openen'? En voor zover ik kan lezen is er geen 'virus achtige' verspreiding op deze manier. Iemand moet dus bewust zo'n mine file aanpassen en dan rondmailen.

(bovendien: hoe vaak worden de files met die extenties nog in het wild aangetroffen? Is toch bijna allemaal alleen maar .rar en .zip wat je tegenkomt?)

TheOneLLama @Boss • 29 februari 2004 15:22

Veel virussen laten het afzendadres echter niet van vreemden komen, maar juist mensen bij wie je in het adresboek.

Veel mensen weten ondertussen wel dat je geen exe, pif, en andere executables moet openen, en met name belangrijk: vele email programmas blokeren het openen van bestanden met die extenties!

Bij deze extenties is dat echter niet zo, en WinZip associeert zich neem ik aan automatisch met deze extenties. Een virus met een beetje goede social enginering zou dus best wel een eind kunnen komen. Ook een cracker die een bepaald iemand op het oog heeft..

Het enige "postieve" wat ik kan bedenken is dat tegenwoordig wat minder mensen WinZip zullen hebben omdat de modernere windows versies standaard al ZIP bestanden lezen. In de win98 tijd had echt iedereen (met windows) dat programma op wat tweakers na die liever WinRar of TotalCommander of iets dergelijks prefereerde.

Tomatoman @TheOneLLama • 1 maart 2004 05:39

Als Nederlanders hebben we het relatief gemakkelijk. De meeste virusmails mogen dan wel van bekenden komen, bijna altijd staat er een Engelstalige tekst in. Mocht je zo'n mail ontvangen, dan weet je dat je op je hoede moet zijn.

bbr @Boss • 1 maart 2004 09:48

ik weet niet wat voor warez jij download. maar
.zip .rar .ace
zijn ongeveer de meest voorkomende...
het probleem zit em dan dus weer in Kazaa(lite)... hoe weet jij, dat die Zipfile, Geen virus bevat?
veel Warez / Cracks kunnen een virus bevatten. het is echt de ideale manier om virussen te verspreiden.

Anoniem: 93545 @Boss • 29 februari 2004 21:30

Vanwege de vele virussen die de laatste tijd rondgaan is iedereen toch al bekend met het fenomeen 'geen bestanden van vreemden openen'?

Dat valt volgens mij behoorlijk tegen

edit: waarom is dit overbodig?

Arnold 29 februari 2004 15:11

cursusles 1: hoe breng ik winzip 9.0 aan de man...

mahi @Arnold • 29 februari 2004 15:19

Nieuwe versies van WinZIP zijn gratis voor reeds geregistreerde WinZIP gebruikers. Gebruikers van de software kunnen dus kostenloos upgraden naar deze laatste versie die deze bug niet heeft. Dit kun je onmogelijk als commercieel uitbuiten beschouwen...

Anoniem: 81934 @mahi • 29 februari 2004 16:11

Tenzij je de (gekraakte) trial versie gebruikt

Op zich natuurlijk wel goed dat hier aandacht aan wordt gegeven zodat iedereen (die het leest) er van weet en (mocht hij/zij dat willen) er iets aan kan doen

Wildfire

@Anoniem: 81934 • 29 februari 2004 20:53

Tenzij je de (gekraakte) trial versie gebruikt

Probeer je illegale WinZip maar eens te upgraden, de illegale serials werken nog gewoon. Blijkbaar zijn de keygen-routines niet aangepast.

Anoniem: 86857 @Arnold • 1 maart 2004 12:12

Juist. En versie 9.0 weet zich wel in de system tray te verankeren, zodat je nooit meer zonder WinZip hoeft/mag. Ik ben net zo blij met 8.0 krijg je dit weer...

90710 @Anoniem: 86857 • 1 maart 2004 13:37

En als je een beetje oplet weet je deze ook weer te deactiveren/verbergen. (Kies 'close' en dan 'close and remove' of verberg 'm met de Windows XP Systray opruim-optie)

Anoniem: 9927 29 februari 2004 15:24

Ik vind het sowieso dom dat mensen nog steeds Winzip gebruiken tegenwoordig aangezien het geen .rar en .ace bestanden kan uitpakken... (correct me if I'm wrong)

Doe mij maar WinRAR, werkt als een trein. Veel overzichtelijkere interface ook.

mxcreep @Anoniem: 9927 • 29 februari 2004 21:33

Helemaal mee eens, winrar kan ook .tar.gz bestanden aan, voor java kun je er .jar files mee maken

KompjoeFriek @mxcreep • 29 februari 2004 23:51

jar is gewoon zip hoor

maar winrar is idd super

YaPP @Anoniem: 9927 • 29 februari 2004 21:34

Doe mij maar WinRAR, werkt als een trein. Veel overzichtelijkere interface ook.

Voor ZIP bestanden is er ook nog 7-zip, een open source tool voor Windows. Deze is dus _echt_ gratis, zonder irritante popups e.d.

BasHouse 29 februari 2004 17:43

Gôh, wel jammer voor WinZip, ze hebben toch een reputatie hoog te houden. Ik vind het namelijk wel stoer hoor om als softwarebakker een eigen extensie tot standaard te kunnen brengen. Goed te lezen dat het alleen de oudere versies betreft zodat een simpele update afdoende is. Ik wacht nog op een winzip die wat met .rar en .ace bestanden kan...

Lord_Gaav @BasHouse • 29 februari 2004 18:13

de ZIP-standaard (als het al een standaard is) is NIET van Winzip, maar van PKWare

BasHouse @Lord_Gaav • 29 februari 2004 22:13

wooops das waar ook ... ik dacht eerlijk gezegd ook meer aan .rar en .ace

Opa @BasHouse • 29 februari 2004 21:49

In a bold move, Phil Katz made the ZIP file format an open one. While PKZip’s source code was closely guarded, Katz encouraged competitors to create their own programs that embraced the ZIP standard. He even worked with the Infozip project, an open source movement that created routines very similar to Phil’s “deflate” and “inflate” routines used in PKZip. The free code released by the Infozip project has spawned a horde of PKZip imitators: WinZip, Power Archiver, Turbozip, PowerZip and many more.

PKWare was doing quite well by the 1990s. PKZip hadn’t made Phil extremely wealthy, but it earned him a comfortable living. Additional revenue came from licensing PKZip’s technology to other companies. Unfortunately, Katz made a huge mistake by delaying a Windows version of PKZip. Phil despised Microsoft and thought Windows a passing fad, and PKWare did not release a Windows edition of PKZip until 1996. Nicosoft, now Winzip, Inc., had had their own shareware ZIP utility, WinZip, available to Windows users for several years, and PKWare was never able to snag the market share they lost by refusing to release a Windows version of their flagship product.

Bron

w0w 29 februari 2004 15:12

Worden deze files dan ook als Positive beschouwt door de virusscanners?

Luxx @w0w • 29 februari 2004 15:32

Als ik het artikel goed begrijp moet er "moeite" gedaan worden om een file zo te maken dat er daadwerkelijk "iligaal" code wordt uitgevoerd. Een goede virusscanner kan dus inderdaad gewoon kijken of een file veilig is.
Het hangt er verder maar net van af hoe jij je virusscanner instelt of dat deze files automatisch goed gevonden worden.

TheekAzzaBreek @Luxx • 1 maart 2004 11:34

Helaas, virusscanners zullen dit in het algemeen niet zien.

Sterk versimpeld doet een scanner niet veel meer dan zoeken naar bepaalde tekenreeksen waaraan een specifiek virus is te herkennen, vergelijkbaar met de zoekfunctie in je tekstverwerker. Hij doet dat zonder rekening te houden met wat voor bestand hij bekijkt: een plaatje wordt net zo behandeld als een uitvoerbaar programma. Zo kan je AV bijvoorbeeld in een incompleet Kazaa bestand ("<naam>_incomplete.dat") al een virus herkennen zonder dat het bestand ook maar bij benadering uitvoerbaar is.

Het simpele feit dat er ergens een te lange parameter string in een bestand (of link) staat zal hij dus niet zien, daarvoor moet je weten wat voor bestand het is, hoe lang die strings mogen zijn, en welke programma's onderuit gaan bij een bepaalde lengte. Dat kan je AV allemaal niet, en je wil ook niet dat hij dat kan: het lijkt me wel zo handig dat je dagelijkse scan binnen 24 uur klaar is.

Als iemand van dit algemene lek gebruikt maakt door echt vuile code in zo'n archief te stoppen zal die code uiteindelijk wel in de lijst met virussen terecht komen. Als je regelmatig je AV update en vooral alle extensies scant is dit geen gevaarlijker transportmiddel dan welk ander dan ook.

Mahena @TheekAzzaBreek • 1 maart 2004 16:30

Maar er zijn toch ook heuristische scanprogramma's? Zien die dan niet dat iets de kenmerken van een virus heeft?

- Kan zichzelf kopieren.
- Kan data veranderen.
- Heeft mail-toegang
-Kan mailprogramma gebruiken.

Ik weet dat dit wel weinig is, maar dan scant het programma niet alleen of er een bekende string in voor komt maar ook wat het programma kan doen?

TheekAzzaBreek @TheekAzzaBreek • 1 maart 2004 21:45

Heuristische scanners zijn wel een tijdje populair geweest - was zelf enthousiast over het vaderlandsche Thunderbyte - maar ik geloof niet dat het nog veel gebruikt wordt, wat simpele no-no acties zoals bootsector schrijven uitgezonderd. Norton noemt het nog wel, maar besteed er niet te veel woorden aan. Ik heb ook sinds Thunderbyte geen virusmeldingen op gedrag gehad, alleen meldingen van bij naam bekende viri.

De grote belofte van de heuristische scanners - virussen onderscheppen waar je geen signature van hebt - is niet uitgekomen voor zover ik kan zien. Helaas.

Anoniem: 41718 @OverSoft • 29 februari 2004 16:23

Ik

en ook winrar; ik heb me ook een tijdje gewaagd aan winace, nóg beter prog. Maar ik ken winzip al zo lang, vind ik gewoon prettig, ook om te hebben voor mijn huisgenoten die dat ook gewend zijn bijvoorbeeld.

De winzip feature in Windows vind ik wat kaal uitgevoerd.

Zippers zijn een van de eerste proggies die ik installeer. Waarom? nou, ehh...voor andere proggies (warez). Om het goed te doen, loop ik nog even de file associations van die progs na, en ik houd ook in de gaten hoe ze in de shell zijn geïntegreerd. Winzip heeft bij mij hoogste prioriteit.

edit:
met de file associations opties in winzip kan je dus ook de bovengenoemde extenties onschadelijk maken (en natuurlijk meteen onbruikbaar, maar goed, zoals al was gemeld, wanneer kom je die nog tegen)

Anoniem: 28821 @Anoniem: 41718 • 29 februari 2004 17:18

@ het_oog
Waarom gebruik je ze alle 3 en niet alleen winrar!? Daar kun je toch ook zip en ace mee uitpakken!

Snap uberhaupt niet waarom men zip en ace nog gebruikt!? Praktisch alle ingepakte spullies op het net zijn toch gerart.

StGermain @Anoniem: 41718 • 29 februari 2004 18:11

Als je niet wil betalen voor software waarom zoek je dan geen freeware die aan je eisen voldoet? Kijk een naar izarc -> http://www.izsoft.dir.bg/ Dat programma doet alles wat winzip en winrar doen en nog meer ook... je kan er echt alles mee openen. (7-ZIP, A, ACE, ARC, ARJ, B64, BH, BZ2, BZA, CAB, CPIO, DEB,
ENC, GCA, GZ, GZA, HA, JAR, LHA, LIB, LZH, MBF, MIM, PAK, PK3, RAR, RPM, TAR, TAZ, TBZ, TGZ, TZ, UUE, WAR, XXE, YZ1, Z, ZIP, ZOO)

Waarom al die moeite doen om cracks en serials te zoeken als het ook beter kan.

nAFutro @Anoniem: 41718 • 29 februari 2004 16:41

Je heeft motivatie bij je uitleg dat is goed, maar de redenen waarom jij winzip gebruikt zijn de sterke punten van winrar

Anoniem: 12517 29 februari 2004 16:14

Gelukkig kan je gratis de nieuwe versie (9) downloaden. Je moet natuurlijk wel in bezit zijn van een geregistreerde en legale versie van WinZip.

Anoniem: 74108 @Anoniem: 12517 • 29 februari 2004 21:09

Daar zit je helaas fout vriend. Ik heb al gezien dat je het ook kunt met eengekraakte versie. Dit zeg ik niet om aanzet te geven tot ilegale praktijken. Eerder is mijn opm. bedoelt om om correcte weergave te doen van zaken. Als je iets neerzet zorg dan wel dat het klopt

Op dit item kan niet meer gereageerd worden.

Beveiligingsprobleem in oudere versies van WinZip

Lees meer

Reacties (61)

Sorteer op:

Weergave: