WinRAR: 19 anni di vulnerabilità, addio agli ACE

Scoperta una grave vulnerabilità rimasta silente in WinRAR per ben 19 anni, legata a una libreria di terze parti per l'estrazione degli archivi ACE.

WinRAR: 19 anni di vulnerabilità, addio agli ACE

La versione 5.70 beta di WinRAR da poco rilasciata corregge una vulnerabilità rimasta silente per ben 19 anni, potenzialmente pericolosa per gli utenti poiché in grado di eseguire codice malevolo all’avvio del computer. A scoprirla e a segnalarla agli sviluppatori è stato il team di Check Point Research, che ne riassume il funzionamento con il filmato visibile in streaming di seguito.

WinRAR: 19 anni di vulnerabilità

Non si tratta di un bug causato da un’errata compilazione del software, ma legato al supporto per il formato ACE ormai obsoleto, che per lungo tempo ha mostrato il fianco all’azione dei malintenzionati. Creando un archivio .ace e rinominandolo semplicemente .rar così da modificarne l’estensione, nel momento in cui i file al suo interno vengono estratti è possibile aggiungere l’esecuzione di un processo in fase di boot, sfruttando un comportamento anomalo di una DLL di terze parti datata 2005 e da lungo tempo non più aggiornata. Il tutto senza che il malcapitato se ne accorga.

Via il supporto agli archivi ACE

La soluzione adottata dalla squadra di WinRAR è radicale: anziché intervenire sul problema impedendo la dinamica è stata del tutto eliminata la compatibilità con il formato ACE. Una scelta comprensibile considerando che il software più diffuso oggi in grado di generare questo tipo di archivi è WinACE che non riceve un update dal 2007. La conferma arriva dalla pagina relativa al changelog della versione 5.70 beta 1 distribuita a fine gennaio.

Nadav Grossman di Check Point Software Technologies ci ha informati a proposito di una vulnerabilità di sicurezza nella libreria UNACEV2.DLL. Questa permette di creare file in modo arbitrario dentro e fuori la cartella di destinazione quando si decomprime un archivio ACE. WinRAR impiegava una libreria di terze parti per estrarli, non più aggiornata dal 2005 e per la quale non abbiamo accesso al codice sorgente. Abbiamo così deciso di abbandonare il supporto al formato ACE al fine di proteggere la sicurezza dei nostri utenti.

Non è dato a sapere se la vulnerabilità sia stata sfruttata nel tempo in modo malevolo né se qualcuno ne sia rimasto vittima. In ogni caso, tenendo conto come WinRAR sia una delle alternative più note e utilizzate per la gestione degli archivi compressi (oltre 500 milioni di utenti dichiarati), l’ipotesi non è da escludere a priori. La release 5.70 beta 2 rilasciata ieri è al momento disponibile solo nelle lingue inglese, ungherese e finlandese. La precedente 5.61 anche in italiano, ma considerando il problema emerso se ne sconsiglia l’installazione.

Fonte: Check Point Research

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • sss scrive:
    quindi una azienda che produce un programma usato da 500 milioni di utenti, si affida a librerie di terze parti delle quali non ha i sorgenti? Sicurezza e professionalita saltatemi addosso che mi scanso. XXXXXXX che cialtroni, sempre piu' contento di aver mollato windows e i suo mondo bacato!
  • Fetente scrive:
    Poichè il miglior gestore di archivi per Windows è 7-zip, che è gratuito e open source, pare logico che 500 milioni di utenti Windows abbiano scelto un'alternativa closed source e a pagamento. Ehggià
    • Sgabbio scrive:
      Quanti usano la compressione 7zip rispetto al Rar o zip ? 7zip e compatibile con il Rar, ma si consiglia di avere anche quel software in caso di problemi.
      • Lorenzo Pastore scrive:
        Molto meglio utilizzare 7Zip per tutto: per comprimere e per decomprimere anche i Rar. Il tutto in sicurezza e senza bisogno di crack per far funzionare un programma closed source che ha fatto il suo tempo. A parte per la creazione dei file cbr, non vedo altri motivi per utilizzare Winrar visto che 7Zip gli è molto superiore.
        • francesco scrive:
          Winrar è molto piu veloce di 7zip e comprime molto meglio di 7zip grazie anche all'introduzione del formato rar5 winrar per registrarlo non serve una crack ma una chiave disponibile su internet i formato txt. Se si vuole usare un programma lento che comprime più di qualsiasi altro archiviatore usate zpaq.
          • Sgabbio scrive:
            Win Rar ha un periodo di prova praticamente eterno. Il resto sono le solite cose da Open VS Closed.
          • Lorenzo Pastore scrive:
            Quando utilizzavo Winrar, i suoi archivi erano sempre leggermente più grandi di quelli compressi con 7ZIP, poi con gli archivi splittati non c'era proprio paragone. Comunque 7ZIP il giorno dopo questa notizia, il 22 febbraio, ha introdotto la versione 19 che ha corretto il bug. Tipica velocità di risposta dell'open source.
    • ___P4 scrive:
      Per tua informazione, in questi anni ci sono state gravissime falle anche in 7-zip.
      • KM350 scrive:
        Vero. Quanto è vero anche che sono state subito corrette. Vero anche che se consideri gravissime quelle di 7-zip, che cosa dovresti dire di Flash e dello stesso Windows? Vero anche che se vai a vedere i changelog di 7-Zip https://www.7-zip.org/history.txt , scoprirai che dalla versione 16.04 alla 18.01 sono passati quasi due anni. Nel mezzo, versioni beta per chiudere "anche" dei bug ma non di sicurezza così grave come dici tu (altrimenti non ci avrebbero impiegato quasi due anni, che in campo informatico è come se fossero quasi due lustri). E allora, c'è chi preferisce ancora Winrar? Chi legge i changelog di Winrar?
Chiudi i commenti