Возьмите бесплатный номер телефона для получения смс украина, когда будете регистрироваться и подтверждать свой аккаунт на подозрительном сайте. Это сохранит в безопасности ваш номер телефона.
Тесты, проведенные исследователями в Check Point Software Technologies с использованием фаззера WinAFL, привели к обнаружению ошибки безопасности в библиотеке unacev2.dll, используемой WinRAR для распаковки архивов ACE.
Библиотека подвержена уязвимости (CVE-2018-20250), которая позволяет злоумышленникам создавать архив ACE, который извлекает файлы в произвольную папку в системе.
Исследователи Check Point продемонстрировали, что дыру в безопасности можно использовать для извлечения безвредного файла в папку назначения, выбранную пользователем, а также для извлечения вредоносного файла в место, указанное злоумышленником. Злоумышленник может, например, извлечь часть вредоносной программы в папку автозагрузки Windows, и она будет запущена при следующей загрузке операционной системы.
Фирма по кибербезопасности сообщила о своих выводах разработчику WinRAR RARLab, который решил, что лучший способ защитить пользователей от потенциальных атак - это удалить поддержку архивов ACE. Это решение было реализовано начиная с выпуска WinRAR 5.70 beta 1.
RARLab говорит, что unacev2.dll не обновлялся с 2005 года, и компания больше не имеет доступа к своему исходному коду.
Следующие идентификаторы CVE были назначены другим уязвимостям WinRAR, обнаруженным Check Point во время проекта фаззинга: CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253. Компания опубликовала технические подробности и видео, показывающее эксплойт в действии.
Популярность WinRAR может сделать его заманчивой целью для злоумышленников. Хотя за последние три года не было обнаружено никаких уязвимостей WinRAR, недостаток инструмента архивации использовался в кибершпионажных кампаниях еще в 2014 году.
Уязвимости WinRAR по-прежнему ценны. Фирма по приобретению эксплойтов Zerodium предлагает до 80 000 долларов США за ошибки удаленного выполнения кода, а в прошлом году она предложила целых 100 000 долларов США.
