19-letnia podatność w WinRAR
2019-02-21 12:28
WinRAR, popularny program do kompresji i archiwizacji danych z podatnością! Wykryty przez firmę Check Point exploit działa poprzez wyodrębnienie archiwum i naraża na niebezpieczeństwo ponad 500 milionów użytkowników. O dziwo, błąd ten istnieje od ponad 19 lat i zmusił WinRAR do całkowitego zarzucenia wsparcia dla podatnego na atak formatu.
Przeczytaj także: Groźna luka w WinRAR. Jeden klik może umożliwić zdalne przejęcie komputera
Kilka miesięcy temu zespół badawczy firmy Check Point zbudował wieloprocesorowe laboratorium fuzzingowe i rozpoczął „fuzz” plików binarnych środowisk Windows przy użyciu fuzzera WinAFL.- Po dobrych wynikach pozyskanych od Adobe Research zdecydowaliśmy się rozszerzyć nasze wysiłki związane z fuzzingiem i zaczęliśmy także fuzz WinRAR-a. – pisze na blogu Nadav Grossman, ekspert Check Pointa odpowiedzialny za odkrycie podatności.
Jedna z awarii wywoływanych przez fuzzer zaprowadziła badaczy do starej biblioteki linków dynamicznych (DLL), która została skompilowana w 2006 roku bez mechanizmu ochrony (jak ASLR, DEP itp.) i która jest wciąż używana przez WinRAR.
Zespół zwrócił szczególną uwagę na ten dll, a następnie próbował wyszukać błąd uszkodzenia pamięci, który mógł doprowadzić do zdalnego wykonania kodu. Jednak fuzzer w teście wykrył dziwne zachowanie. Po jego zbadaniu, ekipa Check Pointa wykryła błąd logiczny: Absolute Path Traversal. Od tego momentu łatwo było wykorzystać tę lukę do zdalnego wykonywania kodu.
Co ciekawe, w przypadku wykrycia tego rodzaju luk, oferowana jest znaczna kwota pieniędzy…
fot. mat. prasowe
Podatność w WinRAR
W przypadku wykrycia tego rodzaju luk, oferowana jest znaczna kwota pieniędzy.
WinRAR to narzędzie do archiwizacji plików dla systemu Windows, może tworzyć i wyświetlać archiwa w formatach plików RAR lub ZIP i rozpakowywać wiele innych formatów archiwalnych. Jak wskazuje strona internetowa WinRAR, "Ponad 500 milionów użytkowników na całym świecie sprawia, że WinRAR jest dziś najpopularniejszym na świecie narzędziem do kompresji".
Przeczytaj także:
![Techniki i metody hakerów, które nigdy nie odejdą do lamusa]( "Techniki i metody hakerów, które nigdy nie odejdą do lamusa [© wygenerowane przez AI]")
Techniki i metody hakerów, które nigdy nie odejdą do lamusa
Techniki i metody hakerów, które nigdy nie odejdą do lamusa
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
Najnowsze w dziale Wiadomości
-
![Prognozy wynagrodzeń i wskaźników gospodarczych na 2026 rok. Co czeka Polskę i Europę?]( "Prognozy wynagrodzeń i wskaźników gospodarczych na 2026 rok. Co czeka Polskę i Europę? [© wygenerowane przez AI]")
Prognozy wynagrodzeń i wskaźników gospodarczych na 2026 rok. Co czeka Polskę i Europę?
-
![Nowa funkcja AI w Google Merchant Center: Jak zamienić zdjęcia produktów na wideo reklamowe?]( "Nowa funkcja AI w Google Merchant Center: Jak zamienić zdjęcia produktów na wideo reklamowe? [© wygenerowane przez AI]")
Nowa funkcja AI w Google Merchant Center: Jak zamienić zdjęcia produktów na wideo reklamowe?
-
![Przemysł motoryzacyjny: rekord eksportu części i kolejny spadek zatrudnienia]( "Przemysł motoryzacyjny: rekord eksportu części i kolejny spadek zatrudnienia [© pexels]")
Przemysł motoryzacyjny: rekord eksportu części i kolejny spadek zatrudnienia
-
![Czy polska gospodarka poradzi sobie z zadyszką na rynku pracy?]( "Czy polska gospodarka poradzi sobie z zadyszką na rynku pracy? [© pexels]")
Czy polska gospodarka poradzi sobie z zadyszką na rynku pracy?
![5 Najlepszych Programów do Księgowości w Chmurze - Ranking i Porównanie [2025]](https://s3.egospodarka.pl/grafika2//5-Najlepszych-Programow-do-Ksiegowosci-w-Chmurze-Ranking-i-Porownanie-2025-270016-50x33crop.png "5 Najlepszych Programów do Księgowości w Chmurze - Ranking i Porównanie [2025]")
5 Najlepszych Programów do Księgowości w Chmurze - Ranking i Porównanie [2025]
