WinRAR : une faille de sécurité vieille de 14 ans découverte

Stéphane Ficca
Spécialiste hardware & gaming
21 février 2019 à 20h45
17
WinRAR

Le célèbre logiciel de décompression WinRAR, utilisé par plus de 500 millions de personnes dans le monde, souffre d'une faille de sécurité vieille de 14 ans.

La vulnérabilité est en effet présente dans le fichier UNACEV2.DLL, qui n'a pas été mis à jour depuis 2005.

Un faille en âge d'écrire son propre correctif

Ce sont les chercheurs de chez Check Point Software qui ont en effet mis en lumière cette étonnante faille de sécurité, qui pouvait être utilisée par un utilisateur malveillant pour pirater les systèmes des utilisateurs. Pas de panique toutefois, les développeurs de WinRAR ont d'ores et déjà corrigé le souci, via la dernière mise à jour du programme.

Concrètement, via la librairie UNACEV2.DLL, il était possible de mettre au point des archives ACE « malveillantes », permettant à leur décompression d'installer des fichiers sur le système cible, en dehors bien sûr du fichier de décompression. Selon Check Point Software, il était tout à fait possible d'injecter des fichiers dans le dossier de démarrage Windows.


"UNACEV2.DLL n'avait pas été mis à jour depuis 2005 et nous n'avons pas accès à son code source", ont déclaré les équipes de WinRAR. "Nous avons donc décidé de supprimer la prise en charge du format d'archive ACE afin de protéger la sécurité des utilisateurs WinRAR".

Le groupe invite évidemment les utilisateurs à ne pas ouvrir les archives ACE dont la provenance est inconnue, mais aussi à mettre à jour le logiciel WinRAR. Un programme qui est installé dans de très (très) nombreux systèmes domestiques, mais aussi dans les entreprises, et que dont on ne prend rarement (voire jamais) le soin de mettre à jour.

À télécharger :
WinRAR pour Windows


Source : Check Point Software
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
17
0
Voir tous les messages sur le forum

Actualités du moment

Sérieux ? Les fonds d'écrans du Galaxy S10 pensés pour dissimuler son encoche
Un nouveau Benchmark place la GeForce GTX 1660 Ti au niveau de la GTX1070
IA : le gouvernement livre ses recommandations pour développer la technologie en France
Google permet de réserver des noms de domaine en .dev
YouTube revoit en profondeur son système de strike pour le rendre plus clair
Les controleurs HTC Vive Cosmos se montrent en vidéo
Galaxy Fit, une semaine d'autonomie pour le nouveau tracker sportif
Carte graphique : Intel invite les gamers à rejoindre son
TSMC : l'incident survenu fin janvier coûtera 550 millions de dollars au groupe
⚡️ Bon plan : le Honor 10 Lite à 204,70€ au lieu de 242,46€
Haut de page