Rarlabin tiedostonpurku- ja pakkausohjelma WinRARissa ollut vakava haavoittuvuus on korjattu.
Rarlab julkaisi haavoittuvuuden korjaavan WinRAR-version 2. elokuuta. Version numero on 6.23, ja kaikkia käyttäjiä suositellaan päivittämään siihen viipymättä.
Haavoittuvuus mahdollistaa hyökkääjän suorittaa koodia käyttäjän tietokoneella, kun tämä avaa erityisesti haavoittuvuuden hyödyntämiseen tarkoitetun rar-arkiston.
Haavoittuvuuden havaitsi Zero Day Initiativen tietoturvatutkija, joka käyttää nimimerkkiä goodbyeselene. Hän ilmoitti siitä Rarlabille 8. kesäkuuta. Haavoittuvuudesta kerrottiin julkisesti 17. elokuuta, toisin sanoen kaksi viikkoa korjauspäivityksen julkaisemisen jälkeen.
Haavoittuvuudelle on annettu tunniste CVE-2023-40477. Koska sen hyödyntäminen vaatii käyttäjältä tietyn rar-arkiston avaamisen, se ei ole luokiteltu erityisen kriittiseksi.
Käytännössä tilanne on kuitenkin toinen, huomauttaa asiasta kirjoittava Bleeping Computer. Käyttäjän huijaaminen avaamaan vieras tiedosto jollakin verukkeella ei ole järin vaikeaa, ja lisäksi WinRARin valtava käyttäjämäärä tekee haavoittuvuudesta houkuttelevan kohteen. Asiasta niin ikään kirjoittavan The Registerin mukaan WinRARilla on tiettävästi yli 500 miljoonaa käyttäjää
Lisäriskin muodostaa se, miten suuri osa WinRARin käyttäjistä käyttää sovelluksen vanhaa versiota. WinRAR kun on shareware-ohjelma ja tunnetusti jatkaa toimimista ilmaisen kokeiluajan päätyttyäkin.
Microsoft on parhaillaan testaamassa Windows 11:een sisäänrakennettua tukea mm. rar- ja 7-zip-arkistoille, joten kolmannen osapuolten tiedostonpurkuohjelmille on tulevaisuudessa onneksi yhä vähemmän tarvetta. Tämä ei nimittäin ole ensimmäinen WinRARissa ollut haavoittuvuus.