Fehler bei Erweiterung für ACE-Bibliotheken ermöglichte Angreifern, Dateien auch außerhalb des beabsichtigten Ordners zu entpacken



Sicherheitsforscher des Unternehmens Check Point Software Technologies haben eine Lücke bei dem populären Packprogramm Winrar entdeckt. Betroffen ist dabei die Bibliothek unacev2.dll, die es ermöglicht, Archive des Dateiformats ACE zu entpacken. Die Entwickler der Software geben in den aktuellen Update-Notizen an, von der Sicherheitsfirma benachrichtigt worden zu sein.

Angreifer können dabei ein ACE-Archiv so manipulieren, dass Dateien nicht nur im vom Nutzer eingestellten Ordner entpackt werden. Die Lücke existiere seit mindestens 2005, schreiben die Entwickler in den aktuellen Patch-Notizen.