V softwaru WinRAR byla objevena nová nebezpečná chyba zabezpečení při spuštění kódu, která postihuje stovky milionů uživatelů po celém světě.
Chybu způsobuje stará knihovna třetí strany, nazývaná UNACEV2.DLL, používaná softwarem a která zpracovává soubory ve formátu ACE.
Vzhledem k tomu, že WinRAR zjistí formát podle obsahu souboru a nikoliv pomocí rozšíření, mohou útočníci pouze změnit příponu .ace na příponu .rar, aby vypadal normálně.
Byla objevena chyba “Absolute Path Traversal”, která by mohla být využívána ke spuštění libovolného kódu na cíleném systému.
Vzhledem k tomu, že tým WinRAR v roce 2005 ztratil zdrojový kód knihovny UNACEV2.dll, rozhodl se stáhnout balíček UNACEV2.dll ze svého softwaru, aby opravil problém a vydal verzi WINRar 5.70 beta 1, která nepodporuje formát ACE.
Uživatelům Windows je doporučeno co nejdříve nainstalovat nejnovější verzi WinRAR a zabránit otevírání souborů přijatých z neznámých zdrojů.
Zdroj: thehackernews.com