Новости Software

В WinRAR обнаружили уязвимость, которая затронула полмиллиарда человек

Архиватор WinRAR, созданный российскими разработчиками Евгением и Александром Рошалами, является весьма популярным в мире. Им пользуются в десятках стран, а сама программа имеет 47 языковых локализаций. Однако у популярности есть и обратная сторона.

 checkpoint.com

checkpoint.com

Как сообщается в отчёте компании Checkpoint Research, которая занимается вопросами в сфере IT-безопасности, в коде программы обнаружена уязвимость, позволяющая злоумышленникам помещать вредоносный файл из архива в формате ACE в папку автозагрузки Windows. Это позволяет выполнять произвольный код на целевой машине, при этом эксплойт не требует повышения привилегий пользователя, под которым выполняется атака. Проще говоря, достаточно загрузить архив на компьютер с Windows, чтобы систему можно было атаковать.

Как оказалось, брешь находилась в библиотеке UNACEV2.dll, которая не обновлялась с 2005 года. Именно она отвечала за распаковку архивов ACE. При этом она была сторонней разработкой. Некоторые поставщики эксплойтов уже проявили интерес к покупке уязвимостей, предлагая до 100 тысяч долларов за инструмент удалённого выполнения кода в WinRAR, 7-Zip, WinZip (в Windows) или tar (в Linux).

 checkpoint.com

checkpoint.com

При этом, по данным экспертов, за минувшие годы заражению подверглось более 500 млн пользователей WinRAR. Как отмечается, на данный момент выпущено обновление WinRAR 5.70 Beta 1, в котором разработчики удалили библиотеку UNACEV2.dll. Таким образом, на данный момент архиватор не поддерживает работу с файлами формата ACE. Судя по всему, возвращения к нему не планируется, ведь исходный код библиотеки оказался утерян, а о разработке аналога пока речи не идёт.

Обновление уже доступно на официальном сайте программы.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Bandai Namco обновит экшен-платформер Pac-Man World для ПК и современных консолей 2 ч.
«Они знали, все знали»: в проблемах Cyberpunk 2077 на запуске виновата не только компания-тестировщик 2 ч.
Дизайн-директор следующей Battlefield займётся проектированием одиночной кампании 2 ч.
У российских пользователей возникли проблемы с загрузкой версии WhatsApp для ПК 3 ч.
В РФ выросло число фишинговых почтовых сайтов, обещающих быструю доставку посылок 3 ч.
Fntastic прояснила роль волонтёров в студии и показала первый скриншот The Day Before на Unreal Engine 5 4 ч.
Кооперативное приключение Blanc расскажет трогательную историю волчонка и оленёнка 4 ч.
Бумажное ролевое приключение RPG Time: The Legend of Wright готовится к релизу на новых платформах 4 ч.
Ранний доступ фэнтезийного симулятора жизни Disney Dreamlight Valley стартует в сентябре 5 ч.
Центробанк позволит ограничивать онлайн-операции для защиты граждан от мошенников 5 ч.