Сегодня 28 февраля 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Уязвимость в WinRAR позволяла хакерам запускать произвольный код при открытии RAR-архивов

В известном архиваторе WinRAR обнаружена уязвимость, которая отслеживается под номером CVE-2023-40477 — ей присвоен рейтинг 7,8 из 10 (высокий). Заранее уведомлённые о проблеме разработчики уже исправили ошибку в программе, и в версии WinRAR 6.23 уязвимость уже закрыта.

Проект Zero Day Initiative перечисляет следующие тезисы, связанные с уязвимостью старых версий WinRAR:

  • уязвимость позволяла злоумышленникам выполнять произвольный код;
  • механизм её работы был связан с обработкой восстановления томов;
  • приложение некорректно проверяло пользовательские данные;
  • в результате вредоносное ПО получало доступ за пределами выделенного буфера памяти;
  • для эксплуатации уязвимости необходимо было заставить пользователя самостоятельно запустить специально созданный вредоносный архив RAR.

Проблему выявил исследователь кибербезопасности под ником goodbyeselene. Он сообщил о своём открытии разработчикам WinRAR в начале июня. Исправленная версия WinRAR 6.23, не содержащая уязвимости, вышла 2 августа, а информация о проблеме оглашена 17 августа — у пользователей было достаточно времени для обновления программы.

Ранее программа «Проводник» в составе предварительной версии Windows 11 получила поддержку формата RAR. Она была реализована при помощи открытой библиотеки libarchive, которая также поддерживает форматы LHA, PAX, TAR, TGZ и 7Z. Возможность распаковки в стабильной версии системы появится в сентябре, а создание архивов станет доступным лишь в следующем году. Разработчиков WinRAR это известие, кажется, не напугало: специализированный архиватор предлагает более широкий набор параметров, чем интегрированная функция в файловом менеджере.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Хакеры заполучили почти 200 Гбайт внутренних данных Epic Games, но это не точно 12 мин.
Легендарный разработчик Call of Duty открыл студию BulletFarm для создания олдскульного кооперативного AAA-шутера 52 мин.
Игрок прошёл The Elder Scrolls V: Skyrim на 100 % без читов и модов — его персонаж достиг 1337-го уровня, но не стал неуязвимым 2 ч.
Биткоин вырос до $60 000, аналитики прогнозируют новые рекорды 3 ч.
Telegram начнёт платить владельцам каналов за показ рекламы 4 ч.
Слухи: студия-разработчик Star Citizen замаскировала массовые сокращения под релокацию сотрудников 4 ч.
Гоночный симулятор F1 24 поступит в продажу 31 мая — и вновь ни слова по-русски, но с поддержкой VR и обновлённым сюжетным режимом 6 ч.
Threads затмил X: соцсеть Цукерберга лидирует по загрузкам приложения 6 ч.
Nintendo через суд потребовала прекратить разработку эмулятора Yuzu — пиратскую версию The Legend of Zelda: Tears of the Kingdom скачали более 1 млн раз 7 ч.
Биткоин взлетел до $59 000, хотя до халвинга остаётся ещё около 50 дней 7 ч.