В известном отечественном архиваторе обнаружилась уязвимость, о которой не знали 14 лет

Библиотека для парсинга, имеющая старый формат, не имеющая никаких механизмов защиты, привела к тому, что 500 миллионов пользователей архивирующей программы WinRAR оказались в опасности. Исправление данной библиотеки невозможно технически, а потому разработчики приняли решение об отказе от формата ACE.

Древний баг в WinRAR

Обнаружить критическую уязвимость удалось специалистом из российской фирмы CheckPoint. Они досконально исследовали разработку, представленную еще в 1995 году специалистом из Челябинска Евгением Рошалом. Возраст данной уязвимости составляет, по меньшей мере, 14 лет, то есть его появление датируется примерно 2005 годом.

Обнаружить баг можно, если открыть библиотеку unacev2.dll, которая выполняет синтаксический анализ, именуемый на профессиональном языке парсингом. Когда программа открывает данный файл, то имеет место выход за пределы обозначенного каталога, а потому и недоброжелатель получает возможность распаковать архив в любую директорию по своему усмотрению, в том числе и системные папки. Именно этот момент и спровоцировал принятие окончательного решения относительно будущего библиотеки, так как уязвимость носит критический характер.

Да, у программы нет прав доступа к стартовой системной директории, но вот вторичная папка (C:\Users\<имя польльзователя>\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup) для нее открыта. Иными словами, злоумышленник, который получил данные о локальном пользовательском имени, вполне может применить данную уязвимость для того, чтобы загрузить в стартовую папку вирусный файл, запускающийся автоматически. Ничего не подозревающий пользователь просто перезагрузит компьютер и спровоцирует заражение.

Резать без наркоза

В релизе, опубликованном специалистами CheckPoint, значится, что компиляция уязвимой библиотеки была выполнена без применения механизмов защиты, то есть можно говорить о крайне серьезной проблеме.

Последнее обновление библиотеки датируется 2005 годом. Компания, занимающаяся разработкой WinRAR, перестала функционировать в 2017 году. У разработчиков архиватора нет прямого доступа к исходным кодам ACE, а потому они решили ситуацию единственно возможным образом, просто прекратив использование данного формата. В версии beta 1 WinRAR 5.70 библиотека больше применяться не будет.

“Обратная совместимость – это в каком-то смысле табу в востребованных программах. К сожалению, такая совместимость достаточно часто провоцирует массу проблем и рисков”, — сказал Олег Галушкин, занимающий должность директора по информационной безопасности в фирме SECConsultServices. Возникшая ситуация показывает и подтверждает, что данное мнение реально имеет место. Специалист акцентировал внимание на том, что древняя библиотека, которая уже 14 лет не обновлялась, привела к тому, что сотни миллионов пользователей архиватора оказались под угрозой. Олег заявил, что отказ от дальнейшей эксплуатации библиотеки – это единственно правильное решение, даже несмотря на то, что популярность формата ACE в последнее время ничтожно мала.

А обезопасить Ваш сервер поможет наша компания IT-Mango.