В известном архиваторе WinRAR обнаружена уязвимость, которая отслеживается под номером CVE-2023-40477 — оценка 7,8 из 10 (высокая). Заранее уведомленные о проблеме разработчики уже исправили ошибку в программе, а в WinRAR 6.23 уязвимость уже закрыта.
Источник изображения: win-rar.com
Инициатива «Нулевой день» перечисляет следующие пункты, связанные с уязвимостью старых версий WinRAR:
- уязвимость позволяла злоумышленникам выполнять произвольный код;
- механизм его работы был связан с обработкой томов восстановления;
- приложение неправильно проверило данные пользователя;
- в результате вредоносное ПО получило доступ за пределы выделенного буфера памяти;
- для эксплуатации уязвимости необходимо было заставить пользователя самостоятельно запустить специально созданный вредоносный RAR-архив.
Проблема была выявлена исследователем кибербезопасности под ником goodbyeselene. О своем открытии он сообщил разработчикам WinRAR в начале июня. Исправленная версия WinRAR 6.23, не содержащая уязвимости, вышла 2 августа, а информация о проблеме была обнародована 17 августа — у пользователей было достаточно времени, чтобы обновить программу.
Ранее Проводник в составе предварительной версии Windows 11 получил поддержку формата RAR. Он был реализован с использованием открытой библиотеки libarchive, которая также поддерживает форматы LHA, PAX, TAR, TGZ и 7Z. Возможность распаковки в стабильной версии системы появится в сентябре, а создание архивов станет доступно только в следующем году. Разработчиков WinRAR эта новость, похоже, не испугала: специализированный архиватор предлагает более широкий набор возможностей, чем встроенная функция в файловом менеджере.
Специальная подборка для Вас