Skype, WinRAR und 7-Zip: Riskante Sicherheitslücken entdeckt

Dass Schwachstellen bei beliebter Software entdeckt und gepatcht werden, ist an sich nichts Ungewöhnliches. Kurioserweise erwischte es binnen weniger Tage aber gleich drei beliebte Programme: Sowohl die Archivierungstools WinRAR und 7-Zip als auch die Chat-Software Microsoft Skype haben Sicherheitslücken, die teilweise als kritisch eingestuft werden; ein Update wird entsprechend nahegelegt.

Bei 7-Zip handelt es sich um unter den Codes CVE-2023-40481 und CVE-2023-31102 zusammengefasste Schwachstellen, welche jeweils mit einem CVSS-Score von 7,8 (hoch) eingestuft werden. Hierbei können Angreifer mithilfe präparierter Pakete Schadcode einschleusen, wenn der Nutzer die jeweiligen Archive öffnet. Die Lücken wurden mittlerweile behoben, eine automatische Update-Funktion gibt es allerdings nicht - die 7-Zip Version 23.01 muss manuell installiert werden.

Bei der bekannten Archivierungs-Alternative WinRAR hingegen ist die Schwachstelle bereits seit vergangenem Wochenende bekannt. Hierbei handelt es sich um CVE-2023-40477, welche als Sicherheitslücke ebenfalls mit einem CVSS-Score von 7,8 versehen wurde. Auch die Funktionsweise ist ähnlich: Öffnet ein Nutzer ein präpariertes Archiv, können Angreifer beliebigen Schadcode auf dem jeweiligen Rechner ausspielen. Hierfür steht mittlerweile das automatische Update auf die WinRAR-Version 6.23 bereit.

Bei Skype hingegen handelt es sich um eine vergleichsweise harmlose Schwachstelle. So können Angreifer mittels eines Links Rückschlüsse auf die IP-Adresse ziehen, wodurch der ungefähre Standort des Betroffenen bestimmt werden kann. Für Microsoft kein Grund zur Beunruhigung: Laut einem Bericht von 404Media argumentiert das Unternehmen, dass "die Offenlegung einer IP-Adresse für sich genommen keine Sicherheitslücke darstellt".