Hilfe - Suche - Mitglieder - Kalender
Vollansicht: 7-zip Sicherheitslücke in alten Versionen
Rokop Security > Security > Trojaner, Viren und Würmer
Solution-Design
http://forum.speedproject.de/threads/sqx-u...583/#post-18656

Seit diesem Posting findet 7-zip bei mir keine Verwendung. Archiv-Suchen in AVs, werden grundsätzlich abgeschaltet. Portable Versionen, welche 7-zip gepackt sind, wurden schon immer in VMs entpackt.

http://www.deskmodder.de/blog/2016/05/12/m...usfuehren-kann/
Rene-gad
ZITAT(Solution-Design @ 13.05.2016, 20:41) *
Seit diesem Posting findet 7-zip bei mir keine Verwendung.

wenn man keine PW-geschütze Archive zu erstellen braucht - braucht man auch keine externen Packer.
Skandaloes
7-Zip hat ja bereits eine aktualisierte Version bereitgestellt.
Solution-Design
ZITAT(Rene-gad @ 13.05.2016, 21:56) *
wenn man keine PW-geschütze Archive zu erstellen braucht - braucht man auch keine externen Packer.


Es gibt WinZip, sowie WinRAR, sowie SQX.

ZITAT(Skandaloes @ 14.05.2016, 12:53) *
7-Zip hat ja bereits eine aktualisierte Version bereitgestellt.


Das nützt nichts. Die Hersteller der Programme, welche 7za-PlugIns nutzen sind gefragt. Die darfst dir über die OpenSource-Seite selbst basteln. Siehe dortiges Forum. Wenn du nicht warten möchtest... https://sourceforge.net/p/p7zip/discussion/.../9d0fb86b/#1dba
Skandaloes
Ist mir klar das die Hersteller, welche auf das PlugIn zurückgreifen, gefragt sind.
Mit dem selber basteln ist auch wieder so ne Sache, aber das muss jeder für sich entscheiden.

Kann man nur hoffen, das alle die auf 7zip zurückgreifen schnell reagieren und nachliefern, ist ja doch ein nicht unerhebliche Menge.
Vor allem hilft es doch eigtl. überhaupt nichts auf alternativ Programme wie WinRar etc zu wechseln, so lange andere Softwarehersteller Ihre Programme mit selbstentpackenden Archiven ausliefern die auf 7zip basieren.
Rene-gad
ZITAT(Solution-Design @ 14.05.2016, 13:14) *
Es gibt WinZip, sowie WinRAR, sowie SQX.

ja, es gibt diese. Aber es gibt auch "Komprimierter Ordner" im Windows Explorer smile.gif
Solution-Design
ZITAT(Rene-gad @ 14.05.2016, 15:51) *
ja, es gibt diese. Aber es gibt auch "Komprimierter Ordner" im Windows Explorer smile.gif



Stimmt. Und aufgrund dieser Tatsache kann ich Firmen nicht verstehen, die sich dann noch solch einen Igor ins Haus holen whistling.gif
Rene-gad
ZITAT(Solution-Design @ 14.05.2016, 15:57) *
aufgrund dieser Tatsache kann ich Firmen nicht verstehen, die sich dann noch solch einen Igor ins Haus holen whistling.gif

hab im Post #2 dies begründet wink.gif
Solution-Design
Erkläre das mal den Firmen, welche Igor einsetzen.
simracer
Frage: wäre Bandizip: https://www.bandisoft.com/bandizip/de/ auch betroffen oder wäre es eine Alternative zu 7Zip?
SLE
ZITAT(simracer @ 15.05.2016, 20:17) *
Frage: wäre Bandizip: https://www.bandisoft.com/bandizip/de/ auch betroffen oder wäre es eine Alternative zu 7Zip?


War und IST noch betroffen. Das Ding ist nichts eigenes, sondern nur ein GUI für diverse offene Packalgorithmen. Nutzt noch immer die veraltete 7z.dll...
simracer
Danke SLE smile.gif
simracer
Gibt es eigentlich einen empfehlenswerten Entpacker der von dieser Sicherheitslücke nicht betroffen ist? und Wind 7 Prof. hat so etwas wohl nicht integriert? Ich brauch den nur um damit Zip oder RAR Archive zu entpacken.
Solution-Design
Ja, 7-Zip in aktueller Version. Ansonsten die 7z1600-extra herunterladen/google und die Dateien von alten 7Zip-Dateien austauschen.

Edit: 7z1600-extra.7z https://sourceforge.net/projects/sevenzip/files/7-Zip/16.00/
Rene-gad
ZITAT(simracer @ 16.05.2016, 11:29) *
Ich brauch den nur um damit Zip oder RAR Archive zu entpacken.

m.W. kannst du ein Archiv durch RMT/Kontextmenü "Öffnen mit.../Windows Explorer" öffnen... Auch unter Windows 7 geht das.
Clinton
Bandizip hat wohl gerade nachgelegt:

ZITAT
We have included the updated module from 7-Zip which fixes the UDF vulnerability.


https://www.bandisoft.com/bandizip/history/

simracer
ZITAT(Rene-gad @ 16.05.2016, 13:02) *
m.W. kannst du ein Archiv durch RMT/Kontextmenü "Öffnen mit.../Windows Explorer" öffnen... Auch unter Windows 7 geht das.

Aber anscheinend nicht entpacken Rene-gad wink.gif
simracer
ZITAT(Solution-Design @ 16.05.2016, 12:18) *
Ja, 7-Zip in aktueller Version. Ansonsten die 7z1600-extra herunterladen/google und die Dateien von alten 7Zip-Dateien austauschen.

Edit: 7z1600-extra.7z https://sourceforge.net/projects/sevenzip/files/7-Zip/16.00/

Heisst das die neue 16er Version ist sicher und sollte installiert werden nachdem die bisher verwendete ältere Version deinstalliert wurde?
SLE
ZITAT(simracer @ 16.05.2016, 14:59) *
Heisst das die neue 16er Version ist sicher und sollte installiert werden nachdem die bisher verwendete ältere Version deinstalliert wurde?


Ja. Hier wird nur wieder riesig gehyped, weil ein Bug gefunden wurde. Der wurde jedoch umgehend gefixed, wie bei anderer Software.
Ein Weggehen von 7zip und Wechsel auf einen anderer Packer deshalb - wieso? Dann könnte man monatlich von Windows etc. weg.

Das Problematische sind nur all die Drittanbieterprogramme, die eben die unsichere Bibliothek weiternutzen und mit Updates bummeln. Wenn das dann noch Securitytools sind (Bsp: MBAM, Comodo...) die mit höchsten Rechten laufen...Prost Mahlzeit.

Windows selber kann nur mit Zip umgehen, nicht mit RAR und 7z.
simracer
Mal wieder ein Danke für deine Erklärung SLE, ich hatte vorhin die bisherige Version 15 noch irgendwas deinstalliert, das System rebootet und dann die neue 16er Version installiert.
ZITAT
Windows selber kann nur mit Zip umgehen, nicht mit RAR und 7z.

Warum integriert Windows bzw Microsoft nicht selbst einen Packer/Entpacker der die meisten gängigen Formate unterstützt in das Betriebssystem? zu teuer? rechtlich nicht so leicht umzusetzen oder was ist der Grund?
Rene-gad
ZITAT(simracer @ 16.05.2016, 13:49) *
Aber anscheinend nicht entpacken Rene-gad wink.gif

wieso nicht? Eine ZIP-Datei wird im Explorer als Ordner dargestellt. Mit Drag & Drop z.B. geht es nun weiter
Schulte
ZITAT(simracer @ 16.05.2016, 15:16) *
Warum integriert Windows bzw Microsoft nicht selbst einen Packer/Entpacker der die meisten gängigen Formate unterstützt in das Betriebssystem? zu teuer? rechtlich nicht so leicht umzusetzen oder was ist der Grund?

Seit XP (SPx?) ist ein Packer/Entpacker für ZIP-Archive enthalten. Für den Normaluser dürfte das ausreichend sein. Selbst verschlüsselte Archive können mit Windows Bordmitteln erstellt werden.
Die Beschränkung auf ZIP dürfte einen entscheidenden Grund haben: das ZIP-Format und die dazugehörigen De-/Kompressionsverfahren sind Public Domain. Seit Office2007 nutzt MS dieses Verfahren in den .docX-, .xlsX- Dateien selbst.

Für das ebenfalls geläufige RAR gibt es nur einen offenen Entpacker. Der Kompressionsalgorithmus selbst ist nicht offengelegt, auch wenn es einige mehr oder weniger funktionierenden Nachbauten gibt.

Die Entscheidung Microsofts ist aus meiner Sicht vernünftig. Man begibt sich nicht in Abhängigkeiten.
Wer mehr will, findet auch eine entsprechende externe Lösung, ist dann aber auch selbst verantwortlich.
Rene-gad
ZITAT(Schulte @ 16.05.2016, 21:57) *
Selbst verschlüsselte Archive können mit Windows Bordmitteln erstellt werden.

verschlüsselt - ja, aber an jemand das Archiv verschicken?
Das habe ich mal schon gelesen und verstanden, dass man außer dem Archiv selbst noch die Zertifikate mitsenden muss
Schulte
OK, versandt habe ich noch keine. Nur auf dem eigenen Rechner getestet.

Ich verwende seit Jahren 7z, da gibt es diese Beschränkung nicht.
Rene-gad
ZITAT(Schulte @ 17.05.2016, 12:02) *
OK, versandt habe ich noch keine. Nur auf dem eigenen Rechner getestet.

für mich selbst erstelle ich keine Archive...
ZITAT(Schulte @ 17.05.2016, 12:02) *
Ich verwende seit Jahren 7z.
ich auch wink.gif
Solution-Design
Ich noch nie. Viele Fehler wurden erst in Version 16 bereinigt, so dass es endlich fast das kann, was WinRAR seit Ewigkeiten beherrscht. Aber wenn es nix kosten darf, ist es ganz nett. So zum Entpacken. Zwischen 2009 und 2015 war 7-Zip entweder eine Alpha oder Beta.

Ich nutze seit Existenz eigentlich nur WinRAR5-Archive. Mit Wiederherstellungsdaten und Multi-Archive mit Passwort. Zum Beispiel für etwas sensiblere Daten in der Cloud. Insgesamt gefällt mir auch die Windows-Integration bei WinRAR etwas besser. Multi-Archive werden bei 7-Zip erst nach Erstellung des Archivs geteilt. Bei WinRAR werden sie sofort geteilt und mit Wiederherstellungsinformationen versehen.

Dem Standard-Nutzer ist das natürlich wurscht. Microsoft mit seinen Zertifikaten ist auch nicht übel.
simracer
7zip 16.02: http://www.7-zip.org/
Changelog:
ZITAT
16.02 2016-05-21
-------------------------
- 7-Zip now can extract multivolume ZIP archives (z01, z02, ... , zip).
- Some bugs were fixed.
Solution-Design
Version 16.0 ist ok. Dass der Igor jetzt täglich irgendwas raushaut, hat nichts mit dem obig genannten Problem zu tun. Das sind Feature-Updates. Die kleinen Bugs vernachlässigbar, laut seiner Aussage (wird aufgrund der komischen Lizenz sowieso Keinem aufgefallen sein).
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.