win.rar GmbH ha rechazado las imputaciones de vulnerabilidades de seguridad en el programa winRAR.
Recientemente winRAR ha sido destacado en los medios de información por alertas de seguridad por supuestas vulnerabilidades en el producto.
“SFX archive vulnerability”, “WinRAR zero day exploit”, “Mohammad-Reza-Espargham Full Disclosure” o “WinRAR’s MS14-064 problem” son algunos de los títulos que han sido difundidos ampliamente suponiendo amenazas de seguridad para los usuarios del popular software de compresión de archivos.
El fabricante de winRAR ha declarado que lo que se ha expuesto es falso y que se trata de reportes mediáticos exagerados y no calificados.
La vulnerabilidad en el archivado auto-extraíble SFX (Self-Extracting) fue publicada en Full Disclosure. Se dijo que es posible crear archivos SFX con un texto HTML especialmente diseñado y que una vez ejecutado descargará y ejecutará un archivo ejecutable arbitrario en el computador del usuario. Según el fabricante de winRAR el ataque completo está basado en vulnerabilidades de Windows OLE corregidas en Noviembre de 2014 (MS14-064). Si el parche no ha sido instalado cualquier software que use componentes de Microsoft Internet Explorer, incluyendo Internet Explorer, puede ser vulnerable a una página HTML especialmente diseñada y permitir la ejecución de código.
Otra supuesta vulnerabilidad es la denominada “WinRAR Web Reminder Vulnerability” y tiene que ver con la ventana de recordatorio del registro de winRAR. Para que un atacante inyecte código a dicha ventana la red local del usuario necesita estar comprometida. Aún más si Internet Explorer también está comprometido y sin parches de seguridad aplicados, como el MS14-064.
Enfatiza que los usuarios de winRAR no se encuentran en riesgo como se ha publicitado. Los informes difundidos ampliamente son alertas falsas y nada tienen que ver con winRAR ya que se trata de problemas propios de la plataforma sobre la cual es instalado winRAR.
win.rar GmbH dijo que ya ha solicitado a los medios y empresas de seguridad corregir las alertas difundidas y que algunos ya lo han hecho.
No hay necesidad de parche para winRAR. Es mejor verificar que se haya instalado el parche MS14-064 de Window. [winRAR en ASI]