محققان امنیت سایبری به تازگی توانستهاند یک نقص امنیتی بسیار خطرناک را در اپلیکیشن فشردهسازی فایل WinRAR کشف کرده و سریعاً آن را به توسعهدهندگان گزارش دهد. در صورتی که از این نرمافزار محبوب استفاده میکنید، برای جلوگیری از هک شدن سیستم خود باید هرچه سریعتر بهروزرسانی نسخه 6.23 آن را دریافت و نصب کنید.
اپلیکیشن WinRAR یکی از قدیمیترین و نام آشناترین برنامههای فشردهسازی، استخراج و مدیریت فایلهای فشرده است که از فرمتهای فشردهسازی گوناگونی همچون Zip پشتیبانی میکند.
محققان حوزه امنیت سایبری به تازگی توانستهاند یک آسیبپذیری بسیار خطرناک به نام CVE-2023-40477 را در این اپلیکیشن محبوب پیدا کنند که به هکر اجازه میداد با دستکاری فایلهای RAR دسترسی کاملی به سیستم کاربر پیدا کرده و بدون کسب اجازه، کدهای مورد نظر خود را اجرا کند.
البته توسعهدهندگان اپلیکیشن فشردهسازی WinRAR سریعاً بهروزرسانی نسخه 6.23 را برای رفع این مشکل در اختیار کاربران قرار داده و این آسیبپذیری بسیار خطرناک را برطرف کردهاند، با این وجود نسخههای قبلی این اپلیکیشن همچنان در دسترس تعداد زیادی از کاربران قرار دارد.
آسیبپذیری خطرناک WinRAR که سریعاً برطرف شد
به گزارش Tomshardware، محققان شرکت امنیتی Zero Day Initiative با انتشار گزارشی در رابطه با این نقص در اپلیکیشن WinRAR توضیح دادهاند که آسیبپذیری فوقالذکر به مهاجمان اجازه میدهد تا از راه دور کدهای دلخواه خود را روی سیستم قربانی اجرا کنند.
علاوه بر این توضیح داده شده که این نقص ناشی از اعتبارسنجی نادرست اپلیکیشن WinRAR از دادههای ارائه شده توسط کاربر است که به هکرها اجازه میدهد به حافظه بیشتری از بافر اختصاص داده شده، دسترسی پیدا کنند.
نکته مهم آن است که این آسیبپذیری نیاز دارد که کاربر از یک وبسایت مخرب پنهان شده در فایلها بازدید کرده یا فایل فشرده دستکاری شده را باز کند.
در یادداشت توضیحات مربوط به نسخه 6.23 اپلیکیشن WinRAR توضیح داده شده که آسیبپذیری CVE-2023-40477 یک مشکل امنیتی مربوط به نوشتن خارج از محدوده در کد پردازش حجمهای بازیابی RAR4 (RAR4 recovery volumes processing code) بوده و اکنون برطرف شده است.
