Článek
„Byla objevena závažná zranitelnost ve všech verzích populárního kompresního nástroje WinRAR za posledních 19 let,“ prohlásil Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Chyba se týká knihovny UNACEV2.dll. „Ta má na starosti rozbalování archivů v ACE formátu a umožňuje dekompresi speciálně upraveného archivu mimo adresář, do kterého uživatel požádal o rozbalení,“ konstatoval bezpečnostní expert.
„Zranitelnost tak lze zneužít například k infikování malwarem skrze Windows Startup složku, ze které dojde ke spuštění malwaru po restartu počítače,“ doplnil Bašta s tím, že zranitelnost se rozhodně nevyplácí podceňovat.
Tvůrci opravu řeší
Příliš možností, jak se bránit, nicméně uživatelé nemají – tou nejúčinnější je samozřejmě WinRar do úplného vyřešení problému nepoužívat. Trhlinu totiž obsahuje také nejnovější verze WinRaru 5.61, stejně jako všechny starší.
Tvůrci již na nápravě problému usilovně pracují. Už nyní je k dispozici WinRar 5.70 v testovací verzi, který kompletně odstraňuje podporu pro ACE formát, a tím v podstatě situaci řeší. Beta verze jsou nicméně určeny pouze pro testery a běžní uživatelé by je kvůli dalším možným chybám a nestabilitě systému neměli instalovat.
Kdy bude vydána finální verze WinRaru, která chybu nadobro odstraňuje, zatím není známo.