Разработчики файлового архиватора WinRAR закрыли критическую уязвимость, существовавшую более 19 лет.
Крупная ошибка, по вине которой при распаковке архива на Windows-компьютере мог быть выполнен вредоносный код, ставила под угрозу безопасность более полумиллиарда пользователей.
"Дыру" обнаружили эксперты Check Point Research. Они выяснили, что если переименовать ACE-файл с расширением .RAR, то злоумышленники смогут заставить утилиту распаковать содержимое архива в папку автозагрузки Windows. Затем, при следующем запуске компьютера, "плохой"код будет исполнен автоматически.
В Check Point сообщили, что критическая уязвимость в WinRAR существовала с 2000 года. Однако никаких атак, связанных с её эксплуатацией, зафиксировано не было.
Разработчики утилиты исправили ошибку, как только об этом стало известно. Оказалось, что программа использовала стороннюю библиотеку UNACEV2.DLL для распаковки архивов формата ACE, которая не обновлялась с 2005 года. Вышедшая на этой неделе версия WinRAR 5.70 beta 1 ACE-файлы не поддерживает.