WinRAR : une faille de sécurité vieille de 14 ans découverte

Stéphane Ficca
Par Stéphane Ficca, Spécialiste hardware & gaming.
Publié le 21 février 2019 à 20h45
WinRAR

Le célèbre logiciel de décompression WinRAR, utilisé par plus de 500 millions de personnes dans le monde, souffre d'une faille de sécurité vieille de 14 ans.

La vulnérabilité est en effet présente dans le fichier UNACEV2.DLL, qui n'a pas été mis à jour depuis 2005.

Un faille en âge d'écrire son propre correctif

Ce sont les chercheurs de chez Check Point Software qui ont en effet mis en lumière cette étonnante faille de sécurité, qui pouvait être utilisée par un utilisateur malveillant pour pirater les systèmes des utilisateurs. Pas de panique toutefois, les développeurs de WinRAR ont d'ores et déjà corrigé le souci, via la dernière mise à jour du programme.

Concrètement, via la librairie UNACEV2.DLL, il était possible de mettre au point des archives ACE « malveillantes », permettant à leur décompression d'installer des fichiers sur le système cible, en dehors bien sûr du fichier de décompression. Selon Check Point Software, il était tout à fait possible d'injecter des fichiers dans le dossier de démarrage Windows.


"UNACEV2.DLL n'avait pas été mis à jour depuis 2005 et nous n'avons pas accès à son code source", ont déclaré les équipes de WinRAR. "Nous avons donc décidé de supprimer la prise en charge du format d'archive ACE afin de protéger la sécurité des utilisateurs WinRAR".

Le groupe invite évidemment les utilisateurs à ne pas ouvrir les archives ACE dont la provenance est inconnue, mais aussi à mettre à jour le logiciel WinRAR. Un programme qui est installé dans de très (très) nombreux systèmes domestiques, mais aussi dans les entreprises, et que dont on ne prend rarement (voire jamais) le soin de mettre à jour.

À télécharger :
WinRAR pour Windows


Source : Check Point Software
Stéphane Ficca
Spécialiste hardware & gaming
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
LeToi

Ah, ce bon vieux WinAce qui n’a jamais pu trouver sa place au milieu de WinZip, WinRAR, 7-zip & consorts…

freduche

Mes archives de jeux sur disquettes comme Doom, Heretic étaient sous Ace :wink:

louchi

Haha oui, tous les jeux/logiciels piratés au format ace, que de souvenirs :smiley:

KaspOu

Mdr c’est pas une correction, c’est un coup de pelle

iosandroid

Quel intérêt d’utiliser winrar ou tout autre logiciel propriétaire pour la compression quand on a 7zip qui est open source et qui lit tout ?

Again2_1_1

On peut se poser la même question pour Chrome, MS Office, iOS, Photoshop, etc. Tous ont des contreparties libres, parfois un peu moins performantes, mais qui sont suffisantes pour 95% des gens… Mais les gens aiment acheter.

bneben

Oui enfin bon… Les perfs ne sont pas les mêmes, les fonctionnalités non plus… Alors oui ça peut servir à bcp, mais dans ma boite on a laché OO pour MSOfiice par exemple, et c’est le jour et la nuit… On utilise par exemple de “gros” fichiers tableurs, l’un s’ouvrait en 30-45s, l’autre s’ouvre maintenant en 5s… Les temps de calcul sont bien meilleur, c’est bien plus ergonomique (gain de temps) etc… Et la facilité pour dév des logiciels qui interagissent avec MSOffice est déconcertante.

serged

Il y a aussi PeaZip (cf https://www.clubic.com/telecharger-fiche63062-peazip.html ) libre aussi…

Quand à Winrar, 99% du parc est piraté… Quel est l’intérêt de le pirater alors qu’il y a 7Zip ou, donc, Peazip ?

3o6

Les bases de données en tableur, c’est tellement crade

bneben

J’ai parlé de base de données ? Je crois pas…
Excel ne sert pas qu’à faire A1 xB1 non plus…

C’est dingue comme les gens pensent qu’un pack office est inutile, parcequ’ils pensent qu’un tableur sert juste à mettre dans un tableau le nombre de kg de patate ramassés dans leur jardin sur 1 an.

C’est tellement bourré de fonctionnalités qu’effectivement, la plupart des gens ne les connaissent pas. Cependant, certaines entreprises en font un usage poussé, et c’est là que ça coince avec les “équivalents” gratuit.

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles