Новости про WinRAR

Ошибка, допущенная в архиваторе, теоретически позволяет злоумышленникам «выполнять вредоносный код» при открытии «заминированного» файла. Ошибку нашли исследователи из Check Point. Выявленная проблема стала результатом утечки в библиотеке UNACEV2.dll, которая является частью архиватора. Правда, с 2005 года она используется мало.

Зная про уязвимость, аналитики разместили вредоносный файл в папку автозагрузки Windows, что позволило обойти необходимость поднятия привилегий для запуска WinRAR. Это значит, что до перезагрузки файл мог быть исполнен автоматически, давая исследователям «полный контроль» над машиной жертвы.

Из-за этой утечки в зоне риска могли находиться до 500 миллионов пользователей. При этом Check Point отмечает, что WinRAR отказался от поддержки архивов ACE, которые и вели к уязвимости. С января WinRAR не поддерживает этот формат, а библиотека UNACEV2.dll удалена из ПО.

В каком-то смысле, ошибка исправлена, но исключить уязвимость можно только используя WinRAR 5.70 или более свежую версию.

Ошибка кроется в поддержке функции «Текст и иконка» для самораспаковывающихся архивов. Она позволяет злоумышленникам добавить и исполнить вредоносный код, когда пользователь просто запускает файл архива, даже не распаковывая его. Встраиваемый код позволяет выполнить любую операцию и получить доступ к любым данным, какие доступны пользователю, что особенно опасно при работе с учётной записью администратора. Жертва может получить вполне корректный архив (либо даже пустой), который незаметно исполнит вредоносный код в фоне, либо украдёт данные.

Ошибка набрала 9,2 балла по шкале CVSS, что соответствует критическому уровню. Сам же разработчик, Rarlab, приуменьшил проблему, заявив, что самораспаковывающийся архив это сам по себе исполняемый файл, и с ним уже стоит обращаться с осторожностью, ведь злоумышленники могут достичь той же цели, используя и другие функции самораспаковывающегося архива.