Informaticien - Une faille critique découverte dans Winrar

Reza Espargham, chercheur en sécurité, vient d'annoncer la découverte d'une faille critique dans le logiciel de compression Winrar SFX version 5.21. Elle permet d'exécuter une attaque à distance afin de compromettre le système sur lequel l'application est installée. Le bug se trouve dans la fonction "Texte et Icone" contenant la zone de texte "Texte à afficher dans la fenêtre SFX", comme le montre la vidéo ci-dessous.

Auteur: Nic007

02/10/2015 @ 21:25:20: antp: Une faille critique découverte dans Winrar

C'est gênant en effet, mais d'un autre côté pour pouvoir lancer un exe sans demander son avis à l'utilisateur il faut lui faire lancer un exe "infecté"... J'ai un peu de mal à voir l'intérêt de la faille au final :grin:

(même s'il se méfierait moins d'un exe autoextractible, c'est facile de faire un faux exe autoextractible aussi...)
Dernière édition: 02/10/2015 @ 21:26:10

03/10/2015 @ 00:02:51: MilesVorkosigan: Une faille critique découverte dans Winrar

Les anti-virus sont-ils déjà à jour par rapport à cette faille ?

06/10/2015 @ 16:23:21: bros: Une faille critique découverte dans Winrar

Je ne suis pas spécialement d'accord pour le terme de "faille".

Ici on utilise une fonction prévue par l'éditeur du logiciel, qui en fait s'exécute automatiquement lorsque l'on ouvre un autoextractible winrar.

L’intérêt est que n'importe quel mec dans un coin peu créer un autoextractible winrar et y mettre un lien vers un malware/virus ... et celui-ci s'exécutera automatiquement.

Côté antivirus, ils ne vont pas flaguer tout les autoextractible winrar comme mauvais, il faudrait , vérifier ce qui est mis dans les infos afin de voir si cela ne pointe pas vers un lien qui lui, après avoir été téléchargé est en fait un code malicieux ....

Bref , ça fait beaucoup de bruit pour peu de choses au final (enfin ça reste mon avis)

08/10/2015 @ 21:34:03: antp: Une faille critique découverte dans Winrar

Dans la newsletter de winrar:

As reported by seclists.org/fulldisclosure/2015/Sep/106, it is possible to create SFX archives with a specially crafted HTML text, which -if started as executable- will download and run an arbitrary executable on a user's computer.
The entire attack is based on vulnerabilities in Windows OLE MS14-064 which have already been patched in November 2014. If you have not installed this patch for some reason it is strongly recommended to install it. It is important for the security of your entire system and is not a WinRAR specific issue. Without this patch any software utilizing MS Internet Explorer components including Internet Explorer itself may be vulnerable to specially crafted HTML page allowing code execution.
The WinRAR SFX module displays HTML in its start dialog so it is affected too, like a huge number of other tools. This issue does not create any new risk factors for SFX archives. Being an executable file, SFX archives already can do everything that can be done with this MS14-064 vulnerability. SFX archives can run any local executable or download and run a remotely stored executable utilizing the official SFX module "Setup" command. This feature is required for software installers. Regardless of discussed Windows vulnerability -as for any .exe file- users should run SFX archives only if they are sure that such archive has been received from a trustworthy source.
Read more at:
www.rarlab.com/vuln_sfx_html.htm
www.rarlab.com/vuln_sfx_html2.htm