Разработчики файлового архиватора WinRAR закрыли критическую уязвимость, существовавшую более 19 лет. Крупная ошибка, по вине которой при распаковке архива на Windows-компьютере мог быть выполнен вредоносный код, ставила под опасность безопасность более полумиллиарда пользователей.
" Дыру" нашли специалисты Check Point Research. Они выяснили, что если переименовать ACE-файл с расширением. RAR, то злоумышленники смогут заставить утилиту распаковать содержимое архива в папку автозагрузки Windows. Потом, при следующем запуске компьютера, " плохой" код будет исполнен автоматически.
В Check Point заявили, что критическая уязвимость в WinRAR существовала с 2000 года. Однако никаких атак, связанных с её эксплуатацией, задокументировано не было.
Разработчики утилиты исправили ошибку, как только про это было оглашено. Оказалось, что программа использовала стороннюю библиотеку UNACEV2. DLL для распаковки закромов формата ACE, которая не обновлялась с 2005 года. Вышедшая на текущей неделе версия WinRAR 5. 70 beta 1 ACE-файлы не поддерживает.