WinRAR

Com quase 25 anos de existência, o WinRAR está entre os utilitários mais antigos e conhecidos para Windows. Ele também traz a fama de ser um software pago cuja licença ninguém paga. O que ninguém esperava é que ele carregasse uma grave falha de segurança há 19 anos. Parece até vingança.

Parece, mas não é. De acordo com a Check Point Software, empresa que descobriu o problema, a falha está em uma biblioteca de terceiros chamada unacev2.dll, que é usada especificamente para descompactar arquivos ACE (um formato de compressão bastante antigo) e não é atualizada desde 2005.

Basicamente, a falha pode ser explorada para permitir que um arquivo seja extraído para uma pasta diferente da indicada pelo usuário. Com isso, invasores podem usar o WinRAR para inserir um executável malicioso em uma pasta de inicialização do Windows, o que fará o arquivo ser executado assim que o computador for reiniciado.

Como o WinRAR verifica o conteúdo antes de descomprimir um arquivo para fazer esse trabalho da maneira correta, o truque funciona mesmo se o pacote ACE tiver a extensão trocada para .rar.

Os desenvolvedores do WinRAR não puderam corrigir o problema diretamente, pois o arquivo unacev2.dll é uma biblioteca privada e, como tal, não tem o código-fonte disponível publicamente. É por isso que a solução encontrada por eles foi a de remover de vez o suporte a arquivos ACE do WinRAR. A atual versão 5.70 beta 2 da ferramenta já não trabalha mais com o formato e será assim com as próximas atualizações.

Se fizer falta, vai ser para pouquíssimas pessoas. Como já dito, o ACE é um formato de compressão antigo e, portanto, pouco usado atualmente.

Com informações: The Verge.

Receba mais sobre WinRAR na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Relacionados

Como colocar senha em pastas [Windows]
Como colocar senha em pastas [Windows]
Falha Zero Day no WinRAR permitiu ataque de hackers por quatro meses
Falha Zero Day no WinRAR permitiu ataque de hackers por quatro meses
Como abrir arquivo .rar no Mac
Como abrir arquivo .rar no Mac
Estes são os 20 programas de PC que você deve atualizar agora mesmo
Estes são os 20 programas de PC que você deve atualizar agora mesmo
Por que Warsaw, plugin de segurança de bancos, bloqueia sites
Por que Warsaw, plugin de segurança de bancos, bloqueia sites
Falha de segurança afeta Chrome, Firefox, Edge e mais apps
Falha de segurança afeta Chrome, Firefox, Edge e mais apps
iPhones da Kaspersky foram hackeados durante quatro anos usando backdoors
iPhones da Kaspersky foram hackeados durante quatro anos usando backdoors
Windows 11 finalmente terá suporte nativo para RAR e outros formatos
Windows 11 finalmente terá suporte nativo para RAR e outros formatos
Por que as regras de senhas fortes que aprendemos estavam erradas
Por que as regras de senhas fortes que aprendemos estavam erradas
O que é Engenharia Social?
O que é Engenharia Social?