آسیب‌پذیری بحرانی در تمامی نسخه‌های WinRAR

winrar vulnerability image sensorstechforum comیکی از محبوب‌ترین نرم‌افزارهای فشرده‌سازی فایل ویندوز، برنامه WinRAR، در ماه گذشته یک نقص امنیتی بحرانی را برطرف کرده است که می‌تواند به منظور نفوذ به سیستم‌های کاربران، تنها با فریب کاربر به باز کردن یک فایل آرشیو مخرب، مورد سوء استفاده قرار گیرد.
به گزارش معاونت بررسی مرکز افتا، به نقل از وب‌سایت ZDNet، این آسیب‌پذیری که سال گذشته توسط پژوهشگران امنیتیCheck Point  کشف شده است، تمام نسخه‌های WinRAR منتشر شده در ۱۹ سال گذشته را تحت تاثیر قرار می‌دهد.
در وب سایت WinRAR، تیم این برنامه اعلام کرده که WinRAR دارای بیش از ۵۰۰ میلیون کاربر است. هر یک از این کاربران به احتمال زیاد تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند. خوشبختانه یک بروزرسانی برای رفع این نقص در ماه گذشته منتشر شده است.
با توجه به بررسی‌های فنی Check Point، آسیب‌پذیری در کتابخانه UNACEV۲.DLL وجود دارد که در تمامی نسخه‌های WinRAR موجود است. این کتابخانه مسئول باز کردن آرشیوهای فرمت ACE است. پژوهشگران Check Point روش‌هایی برای ساخت آرشیوهای ACE مخرب کشف کرده‌اند که هنگام بازکردن فایل آرشیو، با استفاده از نقص‌های کد مورد استفاده در این کتابخانه، فایل‌های مخرب را در خارج از مسیر در نظر گرفته شده قرار می‌دهند. به عنوان مثال، پژوهشگران Check Point توانستند از این آسیب‌پذیری برای نصب نرم‌افزارهای مخرب در پوشه راه‌اندازی ویندوز سوء استفاده کنند تا نرم‌افزارهای مخرب بعد از راه‌اندازی مجدد سیستم، اجرا شوند و سیستم را آلوده کنند. تیم Check Point یک ویدئو اثبات مفهومی مرتبط با این فرایند نیز منتشر کرده است.
توسعه‌دهندگان WinRAR نسخه WinRAR ۵,۷۰ Beta ۱ را در تاریخ ۲۸ ژانویه (۸ بهمن)، برای رفع این آسیب‌پذیری (دارای شناسه‌های CVE-۲۰۱۸-۲۰۲۵۰، CVE-۲۰۱۸-۲۰۲۵۱، CVE-۲۰۱۸-۲۰۲۵۲ و CVE-۲۰۱۸-۲۵۳) منتشر کردند.
بدلیل استفاده گسترده و تعداد بالای کاربران WinRAR، این آسیب‌پذیری مورد هدف عوامل مخرب قرار خواهد گرفت. توصیه می‌شود تا کاربران از بازکردن فایل‌های ACE دریافت شده پرهیز کنند و نسخه WinRAR خود را بروزرسانی کنند.

 

منبع :

مرکز مدیریت راهبردی افتا

https://www.zdnet.com

افزودن دیدگاه جدید

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفا وارد سایت شوید.

طراحی سایت طراحی سایت طراحی سایت طراحی سایت

کلیه حقوق این سایت محفوظ و متعلق به شرکت مهندسی تحقیق و توسعه ارتباط پانا می باشد.

گفتگوی آنلاین