WinRAR, sistemata patch di sicurezza vecchia 19 anni
di Riccardo Donati pubblicata il 26 Febbraio 2019, alle 12:41 nel canale Cloud
Trovata e corretta dopo 19 anni una falla nel sistema di WinRAR che dava la possibilità a esterni di accedere ai programmi di avvio del computer nel caso fosse stato estratto un file con estensione ACE.
Chi non ha mai utilizzato WinRAR per estrarre e comprimere file? Probabilmente chiunque si è trovato nella situazione di utilizzare gratuitamente le sue funzionalità, sia che si utilizzi il computer per lavoro sia che si utilizzi il computer in modo occasionale.
Già dal 2000 WinRAR dava la possibilità agli utenti di estrarre file compatti, solitamente .zip, per archiviarli sul proprio PC. I ricercatori di Check Point Research hanno scovato una bug che era stagnato all'interno del programma praticamente dalla sua nascita. Questo bug di 19 anni ha creato una enorme falla che metteva in pericolo la sicurezza dell'HardDisk.
Check Point ha spiegato che rinominando un file ACE con un'estensione RAR, gli utenti esperti potevano manipolare WinRAR per estrarre un programma dannoso nella cartella di avvio del computer. Il programma dannoso veniva eseguito automaticamente dal prossimo riavvio del computer, questo metteva a rischio anche i dati dell'utente.
WinRAR ha "prontamente" (ci ha messo solo 19 anni) corretto il bug rilasciando una versione del software aggiornata in cui ha abbandonato il supporto per gli archivi ACE. La società infatti, per decomprimere i file con quel tipo di estensione, utilizzava un tool di terze parti che non veniva aggiornato dal 2005.
Non sono stati segnalati attacchi che utilizzavano questo bug durante i 19 anni, ma con 500 milioni di utenti potenzialmente esposti, potremmo dire che questa è un grande svista da parte di WinRAR. Vi consigliamo di aggiornare la versione dell'applicazione per garantire maggiore sicurezza ai vostri dati.
Nel caso vogliate approfondire la questione vi lasciamo qui l'approfondimento da parte di Check Point Research.
ASUS ExpertBook B3, il notebook aziendale completo per tutte le tasche
Recensione nubia Z70 Ultra: più leggero e più potente. Non sottovalutatelo! 
Amazon Kindle 2024: l'evoluzione sottile ma significativa. Recensione 
Hertz offre ai clienti che noleggiano un'auto elettrica la possibilità di acquistarla a prezzi vantaggiosi
Icebreaker: una tastiera in alluminio da oltre 1500 dollari
SSD Gen.4 2TB e 4TB a prezzi super, Seagate 8TB a 142€, schede video, CPU e altro: tutte le offerte per aggiornare il PC!
24 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoGrandioso supporto...
Grandioso supporto...
Non era possibile fare altro poiché la libreria incriminata, cioè unace2.dll, è di proprietà dell'autore e quindi non patchabile se non dall'autore stesso.
Da notare che quella libreria è presente anche in altri programmi di compressione che supportano il formato ACE e quindi il bug non è esclusivo di Winrar (come vorrebbe far credere l'articolo) ma di tutti i programmi che utilizzano tale libreria.
E' irrilevante, sono compromessi anche quelli. La lib per aprire gli ACE è uguale per tutti, anche perchè è l'unica ed è closed. Quindi o si toglie il supporto completamente o ti tieni la falla.
Detto questo, chi usa ACE nel 2019 si merita tutto il male possibile.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".