Фахівці компанії Check Point повідомили про серйозну уразливість в WinRAR і продемонстрували експлуатацію проблеми.
Дослідники попереджають, що всім 500 мільйонам користувачів WinRAR може загрожувати небезпека, оскільки знайдена проблема існує приблизно 19 років.
Логічний баг, знайдений аналітиками, пов’язаний зі сторонньою бібліотекою UNACEV2.DLL, яка входить до складу практично всіх версій архіватора. Дана бібліотека не оновлювалася з 2005 року і відповідає за розпакування архівів формату ACE. З огляду на вік бібліотеки, зовсім не дивно, що дослідники Check Point виявили пов’язані з нею проблеми.
Виявилося, що можна створити спеціальний архів ACE, який при розпакуванні зможе містити шкідливий файл в довільному місці, в обхід фактичного шляху для розпакування архіву. Наприклад, таким чином дослідникам вдалося закинути malware в директорію Startup, звідки шкідник буде запускатися при кожному включенні і перезавантаженні системи.
Знайдені фахівцями проблеми (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 і CVE-2018-20253) були усунені з релізом WinRAR 5.70 Beta 1, в січні поточного року. Оскільки доступ до вихідного коду UNACEV2.DLL виявився давно втрачений, було прийнято рішення відмовитися від підтримки формату ACE зовсім.
Фахівці рекомендують користувачам якомога швидше встановити оновлення, а також проявити пильність і до встановлення патчів, не відкривати архіви ACE, отримані від невідомих джерел (наприклад, від незнайомців поштою).
У своєму звіті дослідники відзначають, що за подібні баги і експлойти компанії подібні Zerodium (тобто брокери вразливостей), готові платити великі гроші. Наприклад, Zerodium купує експлойти для вразливостей нульового дня в популярних архіваторах за 100 тисяч доларів США.
We're still paying up to $100,000 for #0day exploits (code execution) affecting major file archivers: WinRAR, 7-Zip, WinZip (on Windows) or tar (on Linux). For more information: https://t.co/fKnggJyb0H #BigBounties
— Zerodium (@Zerodium) October 18, 2018
До речі, фахівці з комп’ютерної безпеки виявили систему вірусів під назвою DrainerBot, яка приховано витрачає інтернет-трафік мобільних пристроїв на Android.
Також Cybercalm писав, як максимально замаскувати Вашу присутність у Мережі та вберегтися від рекламних оголошень.