WinRAR มีข้อบกพร่องด้านความปลอดภัยที่สำคัญ: นี่คือการแก้ไข

การแก้ปัญหา

WinRAR เป็นซอฟต์แวร์ที่ได้รับความนิยมอย่างมากในการสร้างและแยกไฟล์เก็บถาวรบน Windows และระบบปฏิบัติการอื่นที่รองรับ ส่วนหนึ่งของความนิยมนั้นมาจากการรองรับรูปแบบการบรรจุที่แตกต่างกันซึ่งเป็นอีกรุ่นที่ซอฟต์แวร์รุ่นทดลองใช้ไม่มีวันหมดอายุ

พบข้อบกพร่องเมื่อไม่นานมานี้ที่มีผลต่อ WinRAR ทุกรุ่นก่อน 5.70 บั๊กซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลส่งผลกระทบต่อ WinRAR ทุกเวอร์ชันและผู้ใช้ทั้งหมด 500 ล้านคนที่ใช้แอปพลิเคชัน

นักวิจัยด้านความปลอดภัยค้นพบข้อบกพร่องในห้องสมุดที่ WinRAR ใช้เพื่อแยกไฟล์จากไฟล์เก็บถาวรที่เต็มไปด้วยรูปแบบ ACE

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ด้วยการผลักดันคลังข้อมูลที่จัดทำขึ้นเป็นพิเศษให้กับระบบของผู้ใช้ ข้อผิดพลาดสามารถถูกใช้เพื่อแยกไฟล์ลงในโฟลเดอร์ใด ๆ บนระบบแทนที่จะเป็นโฟลเดอร์ที่เลือกโดยผู้ใช้หรือโฟลเดอร์เริ่มต้นสำหรับแยกไฟล์

เคล็ดลับ : ค้นหาวิธีซ่อมแซมและแยกเก็บถาวร WinRAR ที่เสียหาย

ผู้โจมตีสามารถเลือกที่จะแตกไฟล์ลงในโฟลเดอร์เริ่มต้นของ Windows เพื่อให้โปรแกรมทำงานในการเริ่มต้นระบบครั้งต่อไป

นักวิจัยเผยแพร่วิดีโอที่แสดงให้เห็นถึงการหาประโยชน์

WinRAR ใช้เนื้อหาของไฟล์เพื่อกำหนดรูปแบบการเก็บถาวรที่ใช้ในการบีบอัดไฟล์ หมายความว่าไม่เพียงพอที่จะหลีกเลี่ยงไฟล์ ACE ใด ๆ ในขณะนี้ ผู้โจมตีสามารถเปลี่ยนชื่อไฟล์ ACE เป็น RAR หรือ ZIP และ WinRAR จะจัดการไฟล์เหล่านั้นได้ดี

ไลบรารีที่รับผิดชอบการทำงานคือ UNACEV2.DLL ผู้ผลิตของ WinRAR ลบไฟล์ออกจาก WinRAR 5.70 รุ่นเบต้าล่าสุด ผู้ใช้สามารถอัปเกรดเป็นรุ่นเบต้าเพื่อปกป้องอุปกรณ์ของพวกเขาจากปัญหาความปลอดภัย

นโยบายอาจป้องกันการติดตั้งซอฟต์แวร์ Beta บนอุปกรณ์และผู้ใช้ที่บ้านบางรายอาจไม่ต้องการติดตั้งซอฟต์แวร์ Beta ทั้งในระบบคอมพิวเตอร์

ผู้ใช้และผู้ดูแลระบบเหล่านี้อาจลบไฟล์ที่มีช่องโหว่ UNACEV2.DLL จากไดเรกทอรี WinRAR เพื่อป้องกันอุปกรณ์จากปัญหา นี่คือวิธีที่จะทำ:

  1. เปิด Explorer บนพีซี Windows
  2. ไปที่ C: \ Program Files \ WinRAR ถ้าคุณเรียกใช้ WinRAR รุ่น 64 บิต
  3. ไปที่ C: \ Program Files (x86) \ WinRAR ถ้าคุณเรียกใช้ WinRAR รุ่น 32 บิต
  4. ค้นหาไฟล์ UNACEV2.DLL และเปลี่ยนชื่อหรือลบ
    1. หากต้องการลบ: เลือกไฟล์ UNACEV2.DLL และลบด้วยการคลิกขวาและเลือกลบจากเมนูบริบทหรือโดยใช้ปุ่ม Del บนแป้นพิมพ์
    2. วิธีเปลี่ยนชื่อ: คลิกขวาที่ไฟล์แล้วเลือกเปลี่ยนชื่อ
  5. รีสตาร์ทพีซี

หมายเหตุ : ตัวเลือกนี้จะลบตัวเลือกเพื่อแยกไฟล์ ACE โดยใช้ WinRAR

ฉันไม่พบข้อมูลเกี่ยวกับความนิยมของรูปแบบ ACE ฉันจำได้ว่ามันค่อนข้างเป็นที่นิยม (และเป็นที่ถกเถียงกัน) มากกว่าทศวรรษที่ผ่านมา

ตอนนี้คุณ : คุณใช้ WinRAR หรือไม่ รายการโปรดของฉันคือ Bandizip ในตอนนี้ (ผ่านทาง Hacker News)

แนะนำ

หมวดหมู่ยอดนิยม

บทความการแก้ปัญหา