Gestern hatten wir über das neue Update von 7zip auf die Version 19.00 berichtet. Heute folgt Bandzip mit einem Update auf die Version 6.21. Hier hat man die Schwachstelle im ACE-Format entfernt, indem man die Unterstützung nun beendet.
Der Fehler war in der WinRar entdeckt worden. Ein Sicherheitsproblem, der seit 19 Jahren im ACE-Format nicht gepatcht wurde. Mit der WinRar 5.70 Beta 1 hatte man das Problem mit der UNACEV2.DLL behoben, indem man auch hier den Support für das ACE-Format eingestellt hat. Denn man hat keinen Zugriff auf den Quellcode. Die DLL wurde seit 2005 nicht mehr aktualisiert. Aktuell steht die 5.70 Beta 2 zum Download bereit.
Aber zurück zu Bandzip. Wer Bandzip nutzt, sollte umgehend auf die neue Version aktualisieren. Die weiteren Fehler die behoben wurden sind:
- Absturzproblem bei der Extraktion von spezifischem NSIS behoben.
- Die Shell-Erweiterung funktioniert im Einzelfall nicht.
- Einige kleinere Bugfixes
Da sind noch so einige, die nachziehen müssen, darunter auch Total Commander und xnView.
Eine nicht ganz vollständige Liste findet man hier:
http://www.spywarelib.com/file-1-de02c4d04088b69e64ecc30a3d9e22e5-unacev2.dll.html
So pauschal sollte man mal sein System nach der UNACEV2.DLL absuchen und hoffen, dass man die nicht findet.
Gerade mal gemacht und nichts gefunden.
… und wenn doch: Umbenennen oder gar löschen.
Zum Total Commander hat sich der Entwickler, Christian Ghisler, in seinem Forum dahingehend geäußert, dass ohnehin nur der TC-x86 betroffen wäre.
Im selben Thread stellt er übrigens eine Testdatei bereit.
Gruß, Nemo
Hi,
Christian Ghisler, der Entwickler von Total Commander, hat nunmehr in seinem Forum eine modifizierte Version der UNACEV2.DLL bereitgestellt.
Gruß, Nemo
ich verstehe nicht, warum RARLAB (WINRAR) jetzt eine neue Version im Betatest hat, wenn es doch einfach reicht, die UNACEV2.DLL zu löschen.
Offenbar funktioniert dann WINRAR weiterhin ganz normal; nur eben ohne die Möglichkeit mit ACE-Archiven umzugehen. Da könnte man doch einfach einen kleinen Patch auf der Homepage zur Verfügung stellen, welcher die Datei aus dem Programmverzeichnis löscht.
Habe jetzt mal bei mir geschaut:
neueste Version von Winrar war installiert. Die meisten Datei stammten aus dem Jahr 2018. Die UNACEV2.DLL aus dem Jahr 2005!! Gleich gelöscht.