Zum Inhalt springen

WinRAR-Lücke: Präparierte RAR5-REV-Dateien können Code starten

1. Juli 2026 durch
WinRAR-Lücke: Präparierte RAR5-REV-Dateien können Code starten
Hendrik Lilienthal

In WinRAR steckt eine Schwachstelle, die beim Verarbeiten von RAR5-Wiederherstellungsvolumes mit der Endung .rev greift. Betroffen ist der Parser, also der Programmteil, der solche Dateien einliest und auswertet. Dort kann es zu einem Heap-Schreibvorgang außerhalb des zulässigen Speicherbereichs kommen. Das ist keine reine Absturzursache, sondern eine Schwachstellenklasse, die im ungünstigen Fall zur Ausführung von beliebigem Programmcode führen kann. Der Angriff funktioniert aus der Ferne und ohne Anmeldung am Zielsystem – allerdings muss die betroffene Person eine präparierte Datei öffnen oder anderweitig verarbeiten.

Der Angriff steckt im Archivformat

WinRAR gehört zu den bekanntesten Programmen zum Packen und Entpacken von Archiven. Genau deshalb sind Schwachstellen in solchen Werkzeugen besonders heikel: Archivdateien landen regelmäßig per Mail, Download oder Messenger auf privaten und beruflich genutzten Rechnern. Die aktuelle Schwachstelle betrifft nicht den gesamten Umgang mit komprimierten Dateien, sondern einen bestimmten Teil des RAR5-Formats: Wiederherstellungsvolumes mit der Dateiendung .rev.

Der problematische Punkt liegt im Parser dieser .rev-Dateien. Ein Parser muss Datenstrukturen aus einer Datei lesen, prüfen und in interne Speicherbereiche übertragen. Wenn dabei ein Schreibvorgang über die vorgesehenen Grenzen hinausgeht, spricht man von einem Out-of-Bounds-Write. Hier passiert dieser Fehler im Heap, also in einem Speicherbereich, den Programme zur Laufzeit dynamisch verwenden. Solche Fehler sind sicherheitsrelevant, weil ein Angreifer die Dateiinhalte so gestalten kann, dass nicht nur ein Programm abstürzt, sondern Speicher gezielt verändert wird.

Für Anwender ist wichtig: Die Schwachstelle entsteht nicht durch bloßes Vorhandensein von WinRAR auf dem Rechner. Ausgenutzt wird sie, wenn WinRAR eine entsprechend manipulierte RAR5-REV-Datei verarbeitet. Genau diese erforderliche Benutzeraktion macht den Angriff weniger automatisch, aber nicht harmlos. In der Praxis reicht oft ein glaubwürdig wirkender Dateiname, ein angebliches Archiv aus einem Download oder ein Anhang, der Neugier wecken soll.

Was Angreifer damit erreichen können

Die beschriebene Schwachstelle erlaubt einem entfernten, anonymen Angreifer die Ausführung von beliebigem Programmcode. „Entfernt“ bedeutet in diesem Zusammenhang: Der Angreifer muss keinen direkten Zugriff auf den Rechner haben. Er kann die präparierte Datei über übliche Wege zustellen, etwa als Download oder als Anhang. „Anonym“ heißt: Für die Ausnutzung ist keine vorherige Anmeldung am Zielsystem nötig.

Die Codeausführung ist der kritische Teil. Ein erfolgreich ausgenutzter Speicherfehler kann dazu führen, dass nicht mehr nur WinRAR die Datei verarbeitet, sondern vom Angreifer kontrollierte Befehle auf dem System laufen. Das unterscheidet solche Lücken von Fehlern, die lediglich eine Fehlermeldung oder einen Programmabsturz auslösen. Gerade Archivprogramme sind dabei attraktive Ziele, weil viele Nutzer ihnen beim Öffnen fremder Dateien weniger Aufmerksamkeit schenken als ausführbaren Programmen.

Die Dateiendung .rev sollte deshalb nicht als nebensächliches Begleitformat abgetan werden. Auch Dateien, die nicht wie klassische Programme aussehen, können gefährlich sein, wenn eine Anwendung sie mit einem verwundbaren Parser verarbeitet. Entscheidend ist nicht, ob eine Datei auf den ersten Blick ausführbar wirkt, sondern welcher Codepfad im Programm beim Öffnen angestoßen wird.

Vorsicht bei fremden REV-Dateien

Wer WinRAR nutzt, sollte den Umgang mit RAR5-Wiederherstellungsvolumes vorerst besonders streng behandeln. Das gilt vor allem für Dateien aus unbekannten Quellen oder für Archive, die ohne klaren Anlass zugeschickt werden. Ein Sicherheitsrisiko entsteht nicht nur bei offensichtlich verdächtigen Anhängen. Auch ein sauber benanntes Archiv aus einem Forum, Cloud-Link oder Messenger kann manipulierte Inhalte enthalten.

Hilfreich ist ein nüchterner Prüfreflex: Muss diese Datei wirklich geöffnet werden? Stammt sie aus einer nachvollziehbaren Quelle? Wird eine .rev-Datei überhaupt erwartet? Wenn nicht, sollte sie nicht mit WinRAR verarbeitet werden. Wer solche Dateien beruflich oder technisch prüfen muss, sollte das nicht auf dem Alltagsrechner tun, sondern in einer möglichst isolierten Umgebung.

Für die praktische Absicherung zählen jetzt vor allem einfache Maßnahmen, die das notwendige Nutzerhandeln unterbrechen und die Angriffsfläche senken:

  • Öffnen Sie keine unerwarteten .rev-Dateien oder RAR5-Archive aus unbekannten Quellen.
  • Aktualisieren Sie WinRAR über die regulären Update-Wege des Herstellers.
  • Speichern und prüfen Sie verdächtige Archive nicht auf produktiv genutzten Systemen.
  • Entfernen Sie zweifelhafte Anhänge, statt sie testweise zu entpacken.
WinRAR-Lücke: Präparierte RAR5-REV-Dateien können Code starten
Hendrik Lilienthal 1. Juli 2026
Diesen Beitrag teilen