Der für Privatanwender kostenlose, populäre Allround-Packer ALZip schreibt beim Lesen von Dateinamen in Archiven über Puffergrenzen hinaus. Durch diesen Fehler ist es möglich, beispielsweise über E-Mail-Anhänge mit manipulierten zip-Dateien fremden Code in das System zu schleusen und zur Ausführung zu bringen.

Betroffen sind die internationale Version 6.1 und frühere der Kompressionssoftware. Diese stolpern unter Umständen über manipulierte Dateinamen in Archiven der Typen ALZ, ARJ, ZIP, UUE und XXE. Ist der Packer als Standardsoftware zum Öffnen dieser Dateitypen am System angemeldet, ließe sich die Lücke aus dem Netz nutzen. Ein Angreifer müsste sein Opfer nur überzeugen, ein derartiges Archiv zu öffnen. Da allerdings Archive üblicherweise nicht als potenziell gefährliche Dateien wie zum Beispiel ausführbare Dateien angesehen werden, sollte dies nicht schwer fallen.

Die Sicherheitsexperten von Secunia raten in ihrem Advisory, auf die Version 6.13 von ALZip zu aktualisieren. Diese steht seit einer Woche auf der ALZip-Homepage bereit und enthält die Fehler nicht mehr.


Quelle