Saygıdeğer paylaşılan yazılım arşivleme uygulaması WinRAR, endişe verici bir kusuru gidermek için kısa bir süre önce yamalandı. WinRAR sürüm 6.23 güncellemesi, benekli Bleeping Computer tarafından, güvenlik açığını yüksek önem derecesine göre düzeltir CVE-2023-40477. Kısaca, WinRAR’ın önceki sürümleri, bir saldırgan kullanıcıyı özel hazırlanmış bir RAR dosyasını açmaya teşvik ederse, bir programı çalıştırmak (keyfi kod yürütme) için vektörlerdi.
Zero Day Initiative’in artık yamalanmış WinRAR kusuru açıklamasına bakarsak, aşağıdakileri açıklıyor:
- Güvenlik açığı, uzaktaki saldırganların rasgele kod yürütmesine izin verdi.
- Kusur, programın kurtarma birimlerini işlemesinden kaynaklanıyordu.
- Hatanın, uygulamanın kullanıcı tarafından sağlanan verileri uygunsuz şekilde doğrulamasından kaynaklandığı,
- Bu, bilgisayar korsanlarının korkakça işleri için ayrılmış bir ara belleğin sonunun ötesindeki belleğe erişebileceği anlamına geliyordu, ancak…
- Daha da önemlisi, bir kullanıcının bilgisayar korsanlarının kurbanı olması için gizlenmiş bir kötü amaçlı sayfayı ziyaret etmesi veya bir dosyayı açması gerekir.
Güvenlik araştırmacısı “goodbyeselene”, CVE-2023-40477’de açıklanan WinRAR kusurunu keşfetmekle tanınır. Güvenlik açığını Haziran başında WinRAR geliştiricilerine bildirdiler. Kusurla ilgili haberler, 6.23 sürümünün kullanıcılara indirilmesinden (2 Ağustos) birkaç gün sonra yayınlandı (17 Ağustos), böylece insanların güncelleme yapmak için bolca zamanı oldu.
WinRAR v6.23 sürüm notlarında, CVE-2023-40477’nin “RAR4 kurtarma birimleri işleme kodunda sınırların dışında yazmaya ilişkin bir güvenlik sorunu düzeltildi” şeklinde tanımlandığını görüyoruz. Ancak, bir kullanıcı özel hazırlanmış bir arşivdeki bir öğeye çift tıkladıktan sonra v6.23 “yanlış bir dosya başlatmak” üzere yönlendirilebileceğinden, kapatılan tek güvenlik açığı bu gibi görünmüyor.
WinRAR Bitti mi?
Mayıs ayında, Windows’un gelecekteki bir güncellemede yerel RAR desteği ekleyeceği haberini ele aldık – şu anda .zip dosyalarını işleme biçimine benzer. Bu Windows 11 Dosya Gezgini geliştirmesi, açık kaynak projesinin katlanması sayesinde sağlanır. libarşiv. Libarşif entegrasyonu ile Windows, lha, pax, tar, tgz ve 7z formatları gibi daha birçok arşivi sıkıştırabilmelidir. Geliştiriciler/testçiler şu anda yerel RAR desteğiyle uğraşabilse de, yalnızca önümüzdeki aydan itibaren toplu tüketime ulaşması bekleniyor.
WinRAR koydu cesur yüz Windows 11’in yakında bu popüler arşivleme formatı için entegre destek alacağı gerçeğinden. Tabii ki, Windows entegre bir RAR arşiv içerik menüsü, WinRAR gibi tam özellikli bir uygulamanın ve tüm arşiv işleme seçeneklerinin yerini almayacaktır.