Tom's Hardware Italia
Sicurezza

WinRAR, 19 anni per risolvere una falla di sicurezza. A rischio 500 milioni di utenti

WinRAR ha finalmente risolto un'importante falla di sicurezza che potenzialmente ha esposto a rischio 500 milioni di utenti. L'unico problema? Era lì da 19 anni.

WinRAR, il popolare software di compressione e archiviazione ha rilasciato una nuova versione, la 5.70, che risolve una grave falla di sicurezza, che avrebbe addirittura esposto a potenziali rischi tutti i suoi 500 milioni di utenti. C’è solo un piccolo problema: a quanto pare la falla, scoperta recentemente da Nadav Grossman, ricercatore di Check Point Research, sarebbe stata lì da circa 19 anni, senza che mai nessuno degli sviluppatori se ne accorgesse.

Questo è accaduto probabilmente perché il bug riguarda l’ormai obsoleto formato ACE, che non viene più aggiornato da anni, tanto che l’unico software che ancora consente di aprire gli archivi con questa estensione, WinACE, è ormai fermo dal 2007.

Nonostante questo però per un malintenzionato sarebbe stato semplice creare un archivio in formato ACE per poi rinominarlo in RAR così da consentirne l’apertura con WinRAR. In questo modo, se un utente avesse decompresso un archivio di questo tipo usando le opzioni di estrazioni integrate nel menu di Windows, del codice malevolo sarebbe stato posto a sua insaputa nella cartella di avvio, caricando così in background il malware a ogni nuovo avvio della macchina.

Al di là della lunga “distrazione” durata 19 anni c’è da dire comunque che, messa al corrente della potenziale minaccia, WinRAR ha agito prontamente, eliminando dal proprio pacchetto la libreria incriminata, UNACEV2.dll, che conteneva il bug e non supportando quindi più in alcun modo il formato ACE, del resto ormai pressoché inutilizzato. Così facendo però non sarà più possibile decomprimere eventuali archivi ACE rinominati in RAR, risolvendo il problema alla radice. Il consiglio, se usate WinRAR, è quindi di aggiornare subito all’ultima release 5.70, disponibile in versione beta 2, a 32 o 64 bit.