WinRAR elimina falha grave que existia há 19 anos
Se você usa o WinRAR, atualize-o já (e pague a licença dele)
Se você usa o WinRAR, atualize-o já (e pague a licença dele)
Com quase 25 anos de existência, o WinRAR está entre os utilitários mais antigos e conhecidos para Windows. Ele também traz a fama de ser um software pago cuja licença ninguém paga. O que ninguém esperava é que ele carregasse uma grave falha de segurança há 19 anos. Parece até vingança.
Parece, mas não é. De acordo com a Check Point Software, empresa que descobriu o problema, a falha está em uma biblioteca de terceiros chamada unacev2.dll, que é usada especificamente para descompactar arquivos ACE (um formato de compressão bastante antigo) e não é atualizada desde 2005.
Basicamente, a falha pode ser explorada para permitir que um arquivo seja extraído para uma pasta diferente da indicada pelo usuário. Com isso, invasores podem usar o WinRAR para inserir um executável malicioso em uma pasta de inicialização do Windows, o que fará o arquivo ser executado assim que o computador for reiniciado.
Como o WinRAR verifica o conteúdo antes de descomprimir um arquivo para fazer esse trabalho da maneira correta, o truque funciona mesmo se o pacote ACE tiver a extensão trocada para .rar.
Os desenvolvedores do WinRAR não puderam corrigir o problema diretamente, pois o arquivo unacev2.dll é uma biblioteca privada e, como tal, não tem o código-fonte disponível publicamente. É por isso que a solução encontrada por eles foi a de remover de vez o suporte a arquivos ACE do WinRAR. A atual versão 5.70 beta 2 da ferramenta já não trabalha mais com o formato e será assim com as próximas atualizações.
Se fizer falta, vai ser para pouquíssimas pessoas. Como já dito, o ACE é um formato de compressão antigo e, portanto, pouco usado atualmente.
Com informações: The Verge.
{{ excerpt | truncatewords: 55 }}
{% endif %}