Mettez WinRAR à jour, une faille critique touche le logiciel

Publié le 21 février 2019

Une vulnérabilité vieille de 14 ans a été découverte par des chercheurs en sécurité de Check Point dans le célèbre logiciel de compression de fichiers. Cette faille peut être exploitée par des cybercriminels pour pirater les systèmes des utilisateurs, par le biais d’une archive malveillante.

WinRAR est une référence en matière de compression de fichiers. D’après son éditeur, le programme serait utilisé par plus de 500 millions d’utilisateurs à travers le monde.  Parmi eux, probablement des millions utilisent une version vulnérable.

En ce qui concerne l’aspect technique, selon Check Point, la faille réside dans la librairie UNACEV2.DLL intégrée à toutes les versions de WinRAR depuis 14 ans, hormis dans sa dernière bêta 5.70. Cette librairie permet de gérer des archive au format .ACE. Ce format n’a pas été mis à jour depuis 2005 et RARLab l’éditeur de WinRAR n’est pas en mesure d’accéder à son code source. 

Dans un journal de mise à jour publié sur son site, l’éditeur annonce que le support des archives au format ACE a été abandonné dans la version 5.70 du logiciel.

La dernière version stable de WinRAR (5.61) est toujours proposée en téléchargement par l’éditeur en attendant la version finale de WinRAR 5.70.  Il est recommandé de désinstaller les versions obsolètes de WinRAR et de ne surtout pas tenter d’ouvrir des archives ACE dans les jours à venir.

Source : Check Point