Súlyos biztonsági rés található a WinRAR-ban

​A WinRAR kapcsán egy meglehetősen aggasztó biztonsági résre derült fény, amely a vírusterjesztők dolgát is megkönnyítheti.
 

A WinRAR felhasználóinak száma mára meghaladhatja az 500 milliót. Vagyis egy nagyon széles körben használt szoftverről van szó, amely közbe-közbe a támadók érdeklődését is felkelti. Nem véletlen, hogy a Zerodium biztonsági cég akár 80 ezer dollárt is hajlandó fizetni egy-egy olyan biztonsági résért, amely jogosulatlan távoli kódfuttatásra is lehetőséget adhat a WinRAR kapcsán. Ennek ellenére szerencsére viszonylag ritkán derül fény sebezhetőségre az alkalmazásban. A napokban azonban a Check Point kutatói egy meglehetősen veszélyes sérülékenységre akadtak.
 
A szakemberek szerint a biztonsági hiba az alkalmazás azon összetevőjét érinti, amely az ACE fájlok kezeléséért felelős. Jelesül az unacev2.dll állománnyal összefüggésben merült fel probléma. Érdekesség, hogy ez az összetevő 2005 óta nem frissült.
 
A sebezhetőséget speciálisan összeállított ACE-fájlokkal lehet kihasználni. Amikor a felhasználó a WinRAR segítségével megnyit egy ilyen állományt, és azt kitömöríti, akkor hiába adja meg a célmappát, a szoftver mindenképpen abba a könyvtárba bontja ki a fájlt, amit a támadó előzőleg megadott. Ezáltal az elkövető elérheti például azt, hogy egy ártalmas kód bekerüljön az Indítópultba, majd a Windows következő indításakor automatikusan betöltődjön.
 

 
 
Olvassa tovább
Prémium előfizetéssel!
 
  1. 4

    Az Oracle 18 biztonsági javítást adott ki a MySQL Serverhez.

  2. 4

    Az Oracle Database frissítésével 11 biztonsági hiba orvosolható.

  3. 4

    A Java SE egy újabb biztonsági frissítést kapott.

  4. 4

    A TP-Link kritikus veszélyességű sebezhetőségeket szüntetett meg egyes Omada eszközei kapcsán.

  5. 3

    Az ImageMagick egy közepes veszélyesség hibát tartalmaz.

  6. 3

    A GNOME glib-networking két biztonsági hiba miatt szorul patch-elésre.

  7. 3

    A Squid fejlesztői egy biztonsági rést foltoztak be.

  8. 3

    Három biztonsági javítás érkezett az ArubaOS-hez.

  9. 3

    A Dahua egy biztonsági hibajavítást tett letölthetővé.

  10. 4

    11 biztonsági javításból álló frissítést kapott a Google ChromeOS.

Partnerhírek
​Iskolakezdés: így készítsük fel a gyerekek első telefonját vagy laptopját

Az iskolakezdés sok családban nemcsak a füzetek és tolltartók beszerzését jelenti, hanem az első saját okoseszköz – telefon, tablet vagy laptop – megvásárlását is a gyerekek számára.

Terjed a hamis hibaüzenetekkel támadó ClickFix kártevő

Az ESET közzétette legfrissebb kiberfenyegetettségi jelentését, amely a 2024. december és 2025. május közötti időszakban tapasztalt kiberkockázatokat mutatja be

hirdetés
Közösség