WinRAR подвержен опасной уязвимости

Исследователи обнаружили, что популярный менеджер архивов WinRAR содержит опасную уязвимость. Продукт включает в себя библиотеки для работы с распространёнными в прошлом версиями архивов, и уязвимость обнаружена в библиотеке unacev2.dll, которая используется для работы с архивами ACE.

Ошибка заключается в механизме формирования путей, в который будут распаковываться заархивированные файлы. В результате злоумышленник, сформировав архив, может добиться подмены существующего файла, расположенного, например,в каталоге автозагрузки текущего пользователя.

Это может быть использовано для осуществления адресных атак.

Сейчас формат архивов ACE практически не применяется - последняя коммерческая программа, умеющая формировать такие архивы, выпущена в 2007-м году, и выпустившая её компания прекратила своё существование. Сама библиотека не менялась с 2005-го года, и в распоряжении WinRAR нет её исходных кодов. В связи с этим в WinRAR объявили о прекращении поддержки формата ACE начиная с версии продукта 5.70 beta 1.


Возврат к списку