Depuis près de 14 ans, WinRar était victime d’une faille de sécurité
Une faille de sécurité vieille de près de 14 ans vient d'être corrigée sur WinRar. La brèche pouvait contraindre une décompression dans un dossier décidé par le créateur de l'archive.
Devenu indispensable au point d’en considérer son usage essentiel au même titre que de respirer ou de se laver les mains avant chaque repas, WinRar est un utilitaire effectivement bien utile. Successeur officieux de WinZip, il permet tout simplement de compresser un dossier ou un fichier volumineux pour partager ce dernier sur d’autres machines.
On le doit au Russe Eugene Roshal qui, dans un élan de générosité trop marqué, permet d’utiliser la version gratuite de WinRar aussi longtemps qu’on le souhaite même après la période d’essai de 40 jours. Pas étonnant donc qu’il compte aujourd’hui plus de 500 millions d’utilisateurs dans le monde.
La faille de WinRar pouvait obliger une décompression à X endroit
Mais voilà, Check Point Software, fournisseur mondial en solutions de sécurité internet, a récemment repéré une faille de sécurité dans la bibliothèque UNACEV2.DLL de WinRar. Comme cela nous est rapporté par Génération NT, cette bibliothèque n’a plus été mise à jour depuis 2005 alors qu’il aurait fallu s’en occuper depuis maintenant bien longtemps.
Cette bibliothèque est sollicitée dans l’analyse des fichiers ACE. Au travers de cette faille, il était possible, avec certaines connaissances, de contraindre WinRar à décompresser des fichiers dans un dossier défini par le créateur de l’archive. On peut imaginer qu’avec un chemin de destination comportant une lettre de lecteur inconnue chez l’utilisateur, le fichier RAR devenait inutilisable.
Une mise à jour effective et à télécharger
Il n’est désormais plus lieu de s’inquiéter car le bug a depuis été corrigé. Seulement, pour retrouver la sécurité, il convient de télécharger la version mise à jour de WinRar. Sinon, comme souligné par le commentaire d’un internaute, désactiver la prise en charge des fichiers ACE dans les réglages du logiciel pourrait également régler le problème.