На днях специалисты компании Checkpoint Research обнаружили в WinRAR серьёзную уязвимость, позволяющую злоумышленнику поместить нужные ему файлы в папку автозагрузки Windows и без получения привилегий администратора системы. Подвела архиватор библиотека UNACEV2.dll, реализующая поддержку архивов в формате .ace.

Виновная библиотека не обновлялась с 2005 года и не защищена от современных типов атак. Более того — её исходный код оказался утерян, а потому подготовить для неё заплатку разработчики WinRAR не смогли и просто отказались от поддержки ACE. Типичная ситуация для древнего программного обеспечения.

Если вы пользуетесь WinRAR, для защиты от угрозы установите новейшую версию архиватора (5.70 beta 1), уже опубликованную на официальном сайте. Нам кажется, что лучше сменить архиватор вообще, на любую из (бесплатных) программ созданных хотя бы в текущем тысячелетии. Абсолютной защиты это конечно не гарантирует, но хотя бы от древних уязвимостей избавит.