WinRAR : une faille de sécurité vieille de 14 ans découverte

Stéphane Ficca
Spécialiste hardware & gaming
21 février 2019 à 20h45
17
WinRAR

Le célèbre logiciel de décompression WinRAR, utilisé par plus de 500 millions de personnes dans le monde, souffre d'une faille de sécurité vieille de 14 ans.

La vulnérabilité est en effet présente dans le fichier UNACEV2.DLL, qui n'a pas été mis à jour depuis 2005.

Un faille en âge d'écrire son propre correctif

Ce sont les chercheurs de chez Check Point Software qui ont en effet mis en lumière cette étonnante faille de sécurité, qui pouvait être utilisée par un utilisateur malveillant pour pirater les systèmes des utilisateurs. Pas de panique toutefois, les développeurs de WinRAR ont d'ores et déjà corrigé le souci, via la dernière mise à jour du programme.

Concrètement, via la librairie UNACEV2.DLL, il était possible de mettre au point des archives ACE « malveillantes », permettant à leur décompression d'installer des fichiers sur le système cible, en dehors bien sûr du fichier de décompression. Selon Check Point Software, il était tout à fait possible d'injecter des fichiers dans le dossier de démarrage Windows.


"UNACEV2.DLL n'avait pas été mis à jour depuis 2005 et nous n'avons pas accès à son code source", ont déclaré les équipes de WinRAR. "Nous avons donc décidé de supprimer la prise en charge du format d'archive ACE afin de protéger la sécurité des utilisateurs WinRAR".

Le groupe invite évidemment les utilisateurs à ne pas ouvrir les archives ACE dont la provenance est inconnue, mais aussi à mettre à jour le logiciel WinRAR. Un programme qui est installé dans de très (très) nombreux systèmes domestiques, mais aussi dans les entreprises, et que dont on ne prend rarement (voire jamais) le soin de mettre à jour.

À télécharger :
WinRAR pour Windows


Source : Check Point Software
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
17
0
LeToi
Ah, ce bon vieux WinAce qui n’a jamais pu trouver sa place au milieu de WinZip, WinRAR, 7-zip & consorts…
freduche
Mes archives de jeux sur disquettes comme Doom, Heretic étaient sous Ace
louchi
Haha oui, tous les jeux/logiciels piratés au format ace, que de souvenirs
KaspOu
Mdr c’est pas une correction, c’est un coup de pelle
iosandroid
Quel intérêt d’utiliser winrar ou tout autre logiciel propriétaire pour la compression quand on a 7zip qui est open source et qui lit tout ?
Again2_1_1
On peut se poser la même question pour Chrome, MS Office, iOS, Photoshop, etc. Tous ont des contreparties libres, parfois un peu moins performantes, mais qui sont suffisantes pour 95% des gens… Mais les gens aiment acheter.
bneben
Oui enfin bon… Les perfs ne sont pas les mêmes, les fonctionnalités non plus… Alors oui ça peut servir à bcp, mais dans ma boite on a laché OO pour MSOfiice par exemple, et c’est le jour et la nuit… On utilise par exemple de “gros” fichiers tableurs, l’un s’ouvrait en 30-45s, l’autre s’ouvre maintenant en 5s… Les temps de calcul sont bien meilleur, c’est bien plus ergonomique (gain de temps) etc… Et la facilité pour dév des logiciels qui interagissent avec MSOffice est déconcertante.
serged
Il y a aussi PeaZip (cf https://www.clubic.com/telecharger-fiche63062-peazip.html ) libre aussi…<br /> Quand à Winrar, 99% du parc est piraté… Quel est l’intérêt de le pirater alors qu’il y a 7Zip ou, donc, Peazip ?
3o6
Les bases de données en tableur, c’est tellement crade
bneben
J’ai parlé de base de données ? Je crois pas…<br /> Excel ne sert pas qu’à faire A1 xB1 non plus…<br /> C’est dingue comme les gens pensent qu’un pack office est inutile, parcequ’ils pensent qu’un tableur sert juste à mettre dans un tableau le nombre de kg de patate ramassés dans leur jardin sur 1 an.<br /> C’est tellement bourré de fonctionnalités qu’effectivement, la plupart des gens ne les connaissent pas. Cependant, certaines entreprises en font un usage poussé, et c’est là que ça coince avec les “équivalents” gratuit.
Frackou
Le fichier en question est toujours daté de 2005 dans la dernière version 5.61, il faut utiliser la version 5.70 bêta2 pour le voir disparaître puisqu’ils ont simplement supprimé la possibilité d’associer winrar aux fichiers .ace <br /> La dernière version officielle est donc toujours vulnérable contrairement à ce que vous avancez non?<br /> Sinon décocher l’association aux fichiers .ace dans les options et supprimer manuellement le fichier UNACEV2.DLL dans le dossier d’installation?<br /> Celui-ci s’installant automatiquement même si décoché à l’installation de la version 5.61.
jibi049
En même temps WinRAR 5.61 (pas 3.61), ça a plus de 4 mois…
Blap
Pour ma part, un paquet de fonctionnalités et d’ergonomie qui ne sont jamais arrivees sur 7z malgrees les annnees et qui n’arriveront probablement jamais. Du coup ba… fuck it les logiciels pourris qui n’evoluent jamais
Frackou
oui 5.61 chez pas pourquoi j’ai écrit 3 <br /> Ben y’en a pas d’autre officielle depuis
Zourbon
oui mais 75% des winrar sont installés sur des pc de particuliers qui ne se servent que de la partie décompression des .zip.<br /> A une époque winrar , tout le monde l’installait car tout le monde en parlait.
3o6
Dans toute les entreprises où j’ai bossé les fichiers Excel bien volumineux, c’était toujours le même genre de truc, faisable bien plus proprement sur Access
Cybercafe_Mohamamed_Chaari
On a une excellente alternative : 7Zip. https://www.7-zip.org/<br /> Je souhaite que, par solidarité et confiance, on opte toujours pour les Open Source. C’est un choix intelligent et éthique.
Voir tous les messages sur le forum

Actualités du moment

IA : le gouvernement livre ses recommandations pour développer la technologie en France
Google permet de réserver des noms de domaine en .dev
YouTube revoit en profondeur son système de strike pour le rendre plus clair
Razer pourrait tirer un trait sur le Razer Phone 3
Soundcloud va distribuer la musique des artistes indépendants sur les plateformes de streaming
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
USB Type-C : tout savoir sur la nouvelle norme USB
De Facebook... à Sexebook, réseau social coquin ?
Haut de page