Популярное приложение для архивации WinRAR недавно получило исправление, устраняющее опасную уязвимость. Обновление до версии WinRAR 6.23, замеченное экспертами из Bleeping Computer, закрывает уязвимость с высоким уровнем опасности — CVE-2023-40477. Старые версии WinRAR предоставляли возможность выполнения произвольного кода (запуск вредоносной программы) в случае, если злоумышленник смог соблазнить пользователя открыть специально сконструированный RAR-файл.
Согласно описанию уязвимости WinRAR от Zero Day Initiative, которая была устранена, ситуация следующая:
Исследователю по безопасности с псевдонимом "goodbyeselene" принадлежит заслуга за выявление уязвимости в WinRAR, описанной в CVE-2023-40477. Они сообщили об этой уязвимости разработчикам WinRAR в начале июня. Новости о данной проблеме были опубликованы 17 августа, всего несколько дней после того, как стала доступна версия 6.23 для загрузки (2 августа), так что у пользователей было достаточно времени для выполнения обновления.
В описании выпуска версии WinRAR 6.23 говорится о том, что CVE-2023-40477 описывается как "проблема безопасности, связанная с записью за границами массива", которая была устранена в коде обработки восстановительных объемов RAR4. Однако по всей видимости это не единственная уязвимость, которая была устранена в данной версии. Также была обнаружена ситуация, когда версия 6.23 могла "начать работу с неправильным файлом", если пользователь дважды кликнул по элементу в специально созданном архиве.
WinRAR с достоинством принял тот факт, что Windows 11 скоро получит интегрированную поддержку этого популярного формата архивации. Конечно же, контекстное меню архивов RAR, интегрированное в Windows, не заменит полнофункциональное приложение вроде WinRAR со всеми его опциями обработки архивов.
Согласно описанию уязвимости WinRAR от Zero Day Initiative, которая была устранена, ситуация следующая:
- Уязвимость позволяла удаленным злоумышленникам выполнять произвольный код.
- Недоработка касалась обработки программой объемов восстановления.
- Ошибка возникла из-за неправильной проверки пользовательских данных программой.
- Это означало, что хакеры имели возможность получить доступ к памяти за пределами выделенного буфера для своих злонамеренных целей. Однако...
- Важно отметить, что для того чтобы попасть в руки злоумышленников, пользователю необходимо было посетить маскированную вредоносную страницу или открыть файл.
Исследователю по безопасности с псевдонимом "goodbyeselene" принадлежит заслуга за выявление уязвимости в WinRAR, описанной в CVE-2023-40477. Они сообщили об этой уязвимости разработчикам WinRAR в начале июня. Новости о данной проблеме были опубликованы 17 августа, всего несколько дней после того, как стала доступна версия 6.23 для загрузки (2 августа), так что у пользователей было достаточно времени для выполнения обновления.
В описании выпуска версии WinRAR 6.23 говорится о том, что CVE-2023-40477 описывается как "проблема безопасности, связанная с записью за границами массива", которая была устранена в коде обработки восстановительных объемов RAR4. Однако по всей видимости это не единственная уязвимость, которая была устранена в данной версии. Также была обнаружена ситуация, когда версия 6.23 могла "начать работу с неправильным файлом", если пользователь дважды кликнул по элементу в специально созданном архиве.
Под угрозой ли будущее WinRAR?
В мае мы освещали новость о том, что Windows планирует добавить встроенную поддержку формата RAR в будущем обновлении, аналогично тому, как она в настоящее время обрабатывает файлы .zip. Это улучшение для Проводника файлов Windows 11 стало возможным благодаря интеграции открытого проекта libarchive. С интеграцией libarchive Windows сможет (де)компрессировать гораздо больше архивных форматов, таких как lha, pax, tar, tgz и 7z. Хотя разработчики и тестировщики уже могут попробовать встроенную поддержку RAR, ожидается, что она будет доступна для массового использования начиная с следующего месяца.WinRAR с достоинством принял тот факт, что Windows 11 скоро получит интегрированную поддержку этого популярного формата архивации. Конечно же, контекстное меню архивов RAR, интегрированное в Windows, не заменит полнофункциональное приложение вроде WinRAR со всеми его опциями обработки архивов.