WinRAR, il popolare software di compressione dei file, ha finalmente chiuso una falla di sicurezza presente nel software da ben 19 anni.
WinRar: una falla che mette a repentaglio la sicurezza
La vulnerabilità registrata è presente nella libreria esterna della decompressione di archivi ACE.
La falla, scoperta dai ricercatori di Check Point Software Technologies, permette di includere del codice malevolo in un archivio in formato ACE:
La scoperta della vulnerabilità è dichiarata nel changelog della versione 5.70 beta 1, rilasciata nelle scorse settimane:
Nadav Grossman di Check Point Software Technologies ci ha informati a proposito di una vulnerabilità di sicurezza nella libreria UNACEV2.DLL. Questa permette di creare file in modo arbitrario dentro e fuori la cartella di destinazione quando si decomprime un archivio ACE. WinRAR impiegava una libreria di terze parti per estrarli, non più aggiornata dal 2005 e per la quale non abbiamo accesso al codice sorgente. Abbiamo così deciso di abbandonare il supporto al formato ACE al fine di proteggere la sicurezza dei nostri utenti.
Nella versione 5.70 beta 1, al fine di risolvere tale problematica, la libreria esterna è stata rimossa, rimuovendo inoltre la compatibilità con il formato ACE.
Al fine di poter ritornare ad una situazione di normalità, essendo oltre 500 milioni gli utilizzatori del software, bisognerà attendere il rilascio della versione 5.70 stabile che dovrebbe arrivare nelle prossime settimane.