Egy új sebezhetőséget hoztak nyilvánosságra a WinRAR fájlarchiváló programot érintően, amelyet kihasználva egy támadó távolról tetszőleges kódot futtathat a megcélzott rendszereken. A CVE-2021-35052 néven nyomon követhető hiba a szoftver 5.70-es verziószámú próbaverzióját érinti.
Ez a sebezhetőség lehetővé teszi a támadók számára, hogy elfogják és módosítsák azokat a kéréseket, amelyeket az alkalmazás küld a felhasználóknak. A WinRAR-ral kapcsolatos vizsgálat azután kezdődött, hogy megfigyelték az MSHTML (más néven Trident) által megjelenített JavaScript hibát. Ez a már megszűnt Internet Explorer saját fejlesztésű böngészőmotorja, amelyet az Office-ban a Word, Excel és PowerPoint dokumentumokon belüli webes tartalmak megjelenítésére használnak, és amely annak felfedezéséhez vezetett, hogy a hibaablak háromszor jelenik meg az alkalmazás indításakor a próbaidő lejárta után. A válaszkódot elfogva amit a “notifier.rarlab.com” címen keresztül küld a WinRAR az ingyenes próbaidőszak lejáratáról, és azt egy 301-es ”Véglegesen áthelyezve” HTTP üzenetté módosítva elérhető, hogy a támadó egy általa kontrollált rosszindulatú tartományra irányítsa a felhasználót a későbbi kérések során. Továbbá ezek a hackerek ARP hamisító (Address Resolution Protocol Spoofing) támadásokkal távolról indíthatnak alkalmazásokat vagy tetszetőleges kódot futtathatnak a felhasználók eszközein.
A problémát a 2021. június 14-én megjelent WinRAR 6.02-es verziójában orvosolták a fejlesztők. A felhasználók számára javasolt ellenőrizni, hogy a legfrissebb verzió van-e telepítve!
