Check the new version here

Popular channels

Cuidado con WinRAR: pueden atacar tu PC



Cuidado con WinRAR: pueden atacar tu PC s贸lo con abrir un archivo comprimido


Una nueva vulnerabilidad de WinRAR es probablemente una de las m谩s peligrosas de la historia del popular programa de compresi贸n.


WinRAR gan贸 su popularidad (500 millones de instalaciones mundiales) gracias a su versi贸n gratuita (鈥渢rial con opci贸n de pago鈥)que permite descomprimir archivos en todo tipo de formatos.

Instalarlo es una manera de desentendernos de cualquier problema relacionado con archivos privados, pero ahora se ha descubierto que puede abrir la puerta al mayor de los problemas, que tomen el control de nuestro ordenador.


Esta vulnerabilidad de WinRAR no es un bug seg煤n sus creadores (驴?)



Seg煤n Vulnerability Lab, la versi贸n 5.21 de WinRAR (la 煤ltima) tiene un serio bug de seguridad que permite ejecutar c贸digo de manera remota, aunque s贸lo afecta al formato SFX, una versi贸n del formato RAR que permite incluir informaci贸n e instrucciones. Por eso es mas usado entre piratas ya que les permite incluir los pasos necesarios para instalar el programa o juego salt谩ndose la protecci贸n.

Sin embargo esta funcionalidad tambi茅n permite incluir un archivo HTML, que hace que el programa descargue c贸digo de un servidor externo y lo ejecute, todo ello sin conocimiento del usuario; una vez que es posible ejecutar c贸digo en un ordenador ajeno, las posibilidades son inmensas para cualquier atacante, que puede hacer que WinRAR instale malware o virus sin ning煤n tipo de protecci贸n. Podemos ver la demostraci贸n de este ataque en el v铆deo a continuaci贸n:




Pero a煤n m谩s preocupante ha sido la respuesta oficial de WinRAR: aunque reconocen que el informe del bug es correcto, tambi茅n aseguran que es 鈥渋n煤til鈥 buscar vulnerabilidades en el formato SFX ya que es un archivo ejecutable, y por lo tanto el usuario es el que deber铆a tener la responsabilidad de ejecutarlo o no. Incluso sugieren un m茅todo m谩s f谩cil para ejecutar c贸digo usando su programa, simplemente incluyendo el ejecutable en el SFX y configurarlo para que se ejecute en cuanto se abra.

As铆 que WinRAR ha decidido no arreglar el 鈥渂ug鈥, ya que creen que si limitan la funcionalidad de incluir archivos HTML molestar谩n a los usuarios que usen esa funcionalidad. En otras palabras, WinRAR se lava las manos. No es lo que uno se esperar铆a de un programa tan usado en todo el mundo.



0
0
0
12
0No comments yet