Z jakiegoś powodu program WinRAR nadal cieszy się gigantycznym zainteresowaniem ze strony użytkowników komputerów osobistych. Program ten wbrew obiegowej opinii wcale nie jest darmowy, a alternatywy dlań dosłownie się piętrzą. Eksperci do spraw bezpieczeństwa wykryli niedawno w aplikacji WinRAR kluczową lukę CVE-2023-40477. Luka w WinRAR powinna być dostateczną motywacją do zmiany przyzwyczajeń i odinstalowania znanego programu.
WinRAR z poważną luką
Właśnie udało się naprawić lukę w zabezpieczeniach programu WinRAR. Popularne narzędzie do archiwizacji plików pozwalało hakerom wykonywać polecenia na komputerze po prostu… otwierając archiwum. Podatność CVE-2023-40477 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w systemie docelowym po otwarciu specjalnie spreparowanego pliku RAR.
Luka w WinRAR została odkryta przez badacza o pseudonimie goodbyeselene z Zero Day Initiative, który zgłosił ją RARLAB 8 czerwca 2023 roku. Jak tłumaczył:
Problem wynika z braku odpowiedniej walidacji danych dostarczonych przez użytkownika, co może skutkować dostępem do pamięci poza końcem przydzielonego bufora.
Ponieważ atakujący musi nakłonić ofiarę do samodzielnego otwarcia archiwum, stopień istotności luki wynosi 7,8 w 10-stopniowej skali CVSS. Realnie jednak nakłanianie internautów do robienia głupich rzeczy jest wyjątkowo proste, więc…
Odinstaluj narzędzie i wybierz darmową alternatywę
Dlaczego w tytule zaapelowałem o odinstalowanie programu, a nie zaktualizowanie go? Bo zapewne nie opłaciłeś licencji WinRAR i korzystasz z aplikacji nielegalnie. Zamiast nadużywać dobroci twórców WinRAR-a, zainstaluj sobie lepiej bezpłatną alternatywę, na przykład 7-Zip.
Jeśli upierasz się przy WinRAR, zaktualizuj program do najnowszej wersji o numerze 6.23 z 2 sierpnia 2023 roku, w której załatano lukę.
Przypominam, że Microsoft testuje natywną obsługę plików RAR, 7-Zip i GZ w systemie Windows 11. Dodatkowy archiwizer w tym OS-ie stanie się zbyteczny.
Sprawdź: Alternatywy dla WinRar. Jaki program do archiwizowania danych?
Źródło: ZDI