سازنده برنامه WinRAR برای جلوگیری از سوءاستفاده هکرها از یک باگ امنیتی موجود در برنامه، وصله امنیتی منتشر کرد.

طبق گزارش گروه فناوری اطلاعات های فن تک و به نقل از تام شاردور؛ هکرها با سوءاستفاده از یک باگ امنیتی در برنامه WinRAR می توانند برنامه های خود را هنگام باز کردن فایل های RAR در دستگاه قربانی اجرا کنند. در حال حاضر این وصله امنیتی با شماره 6.23 WinRAR در دسترس تمامی کاربران قرار گرفت. بروز رسانی WinRAR نسخه 6.23 باگ امنیتی شماره CVE-2023-40477 را برطرف می کند. وب سایت Zero Day Initiative با انتشار گزارشی در مورد نقص امنیتی WinRAR نوشت:

• این آسیب پذیری به مهاجمان سایبری اجازه می داد تا کد دلخواه خود را روی دستگاه قربانی اجرا کنند.
• این نقص بیشتر در فایل های حجیم که باید بازیابی می شد، رخ می داد.
• این باگ ناشی از اعتبار سنجی نادرست برنامه از داده های ارائه شده توسط کاربر است.

همه این موارد به این معناست که هکرها می توانند به حافظه هایی علاوه بر بافر دستگاه برای اجرای اعمال پلید خود دسترسی داشته باشند. معمولا در زمان اجرای برنامه، یک پیام تبلیغاتی مخرب به قربانی نمایش داده می شود یا از او خواسته می شود یک فایل را باز کند. به این ترتیب دستگاه قربانی آلوده می شود.

اولین کسی که توانست این باگ را شناسایی کند، کارشناس امنیت سایبری “goodbyeselene” بود. تیم تحقیقاتی او اوایل ژوئن سال جاری این کشف را به توسعه دهندگان WinRAR گزارش کردند. خبرهای مربوط به این باگ دو روز بعد از انتشار وصله امنیتی 6.23 منتشر شد. بنابراین کاربران زمان کافی برای بروز رسانی برنامه داشتند. در توضیحات این نسخه آمده است:”این مشکل امنیتی مربوط به عملیات نوشتن خارج از محدوده مجاز می شد که در نسخه جدید کاملا رفع شد.” اما، بعید می رسد این تنها باگ برنامه winrar باشد.
آیا عمر WinRAR به پایان رسیده است؟

ماه مه سال 2023 شرکت مایکروسافت اعلام کرد که در نسخه بعدی ویندوز پشتیبانی از فایل هایی با پسوند RAR به صورت خودکار اضافه می شود. درست مانند اجرای فایل های .Zip در ویندوز. این قابلیت به لطف ویژگی کتابخانه libarchive منبع باز در ویندوز11 صورت می گیرد. ب ادغام کتابخانه جدید، ویندوز می تواند فایل های فشرده با فرمت های lha, pax, tar, tgz, lha, pax, tar, tgz و 7z را از حالت فشرده خارج کند یا بلعکس. با اجرای این طرح، برنامه WinRAR برای همیشه به پایان می رسد.