Attenzione a WinRAR: una falla lo trasforma in uno strumento nelle mani degli hacker

Attenzione a WinRAR: una falla lo trasforma in uno strumento nelle mani degli hacker

Una vulnerabilità, già correttà, può consentire l'esecuzione di comandi da remoto semplicemente all'apertura di un archivio compromesso

di pubblicata il , alle 16:31 nel canale Sicurezza
 

E' stata scoperta all'interno di WinRAR una grave vulnerabilità che può consentire l'esecuzione di comandi da remoto su un computer semplicemente aprendo un archivio. WinRAR è un popolarissimo software di compressione e archiviazione in ambiente Windows, utilizzato correntemente da milioni di utenti.

E' stato il ricercatore "goodbyeselene" di Zero Day Initiative ad individuare il problema, segnalandolo RARLAB, sviluppatore di WinRAR, lo scorso 8 giugno. La falla è tracciata come CVE-2023-40477 e, come detto, potrebbe consentire ad attaccanti remoti di ottenere l'esecuzione di codice arbitrario sul sistema di destinazione dopo l'apertura di un file RAR appositamente creato.

Il sito Zero Day Initiative ha pubblicato il bollettino di sicurezza, in cui si spiega che "La falla specifica esiste nell'elaborazione dei volumi di ripristino. Il problema deriva dalla mancanza di una corretta convalida dei dati forniti dall'utente, che può comportare l'accesso alla memoria oltre la fine di un buffer allocato".

La vulnerabilità è stata valutata con un grado di gravità ti 7,8 su dieci, poiché per sfruttarla efficacemente essa richiede che la vittima sia indotta ad aprire un archivio. In ogni caso gli hacker più smaliziati possono attingere a tutto l'arsenale delle tecniche di ingegneria sociale per convincere ed ingannare il malcapitato affinché apra l'archivio compromesso.

Gli utenti devono aggiornare WinRAR alla versione 6.23 il prima possibile

Per risolvere il problema RARLAB ha emesso un aggiornamento di WinRAR il 2 agosto 2023 con la versione 6.23 dell'utility di archiviazione. Il suggerimento agli utenti di WinRAR è quindi quello di applicare il prima possibile l'aggiornamento, così da eliminare la vulnerabilità.

In ogni caso vale sempre la pena di ricordare di prestare attenzione all'apertura di archivi compressi, soprattutto quando inviati o recuperati da fonti non completamente affidabili, analizzandoli opportunamente con un software antivirus.

A margine è opportuno infine segnalare che Microsoft sta per rendere disponibile il supporto nativo agli archivi RAR, 7-Zip e GZ in Windows 11 rendendo progressivamente inutili i software di archiviazione di terze parti, a meno di avere bisogno di specifiche funzionalità avanzate.

I migliori sconti su Amazon oggi
-21%

CMF Phone 1 8+128GB - Smartphone con fotocamera posteriore Sony da 50 MP con Ultra XDR, Display Super AMOLED da 6,67 pollici e Nothing OS 2.6, Nero, Non supporta eSIM

239.00 189.00 Compra ora
-18%

Apple iPhone 16 128 GB: Telefono 5G con Controllo fotocamera, chip A18 e tanta autonomia in più. Compatibile con AirPods; bianco

979.00 799.00 Compra ora
-42%

Cecotec Friggitrice ad Aria Senza Olio Cecofry Fantastik 5500 da 5,5 L. 1500W, Tecnologia PerfectCook, 9 modalità di cottura, Touch, Regolabile 80-200°C, Cottura fino a 60 minuti

76.90 44.90 Compra ora
9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zoeid21 Agosto 2023, 17:15 #1
7zip for life!
bancodeipugni21 Agosto 2023, 18:34 #2
Originariamente inviato da: zoeid
7zip for life!

[CODE]
tar -xjf[/CODE]
Goofy Goober21 Agosto 2023, 20:01 #3
pare assurdo ci siano ancora utenti che usano winrar shareware o lo comprano quando ormai da tanti anni tool completi free che fanno la stessa cosa.
Nui_Mg21 Agosto 2023, 20:17 #4
Originariamente inviato da: Goofy Goober
pare assurdo ci siano ancora utenti che usano winrar shareware o lo comprano quando ormai da tanti anni tool completi free che fanno la stessa cosa.

Spesso perché (da quanto mi dicono) la gestione per la creazione/gestione di archivi di correzione errore per i .rar è immediata e/o non vogliono/sanno usare i par con i 7z.
Opteranium21 Agosto 2023, 22:23 #5
OT, qualcuno sa come fare per comprimere simultaneamente tante cartelle diverse in altrettanti file in ambiente linux? grazie!
quartz22 Agosto 2023, 01:09 #6
Originariamente inviato da: Opteranium
OT, qualcuno sa come fare per comprimere simultaneamente tante cartelle diverse in altrettanti file in ambiente linux? grazie!


In bash, nella directory in cui si trovano tutte le cartelle che vuoi comprimere:

for f in *; do tar -zcvf ${f}.tar.gz ${f}; done

Non comprime/tarra simultaneamente, ma lo fa in sequenza in maniera automatica.
inited22 Agosto 2023, 08:26 #7
Microsoft renderà nativa l'apertura di file, non la compressione da quel che avevo letto, quindi non si possono definire i software speciifici come resi inutili da questa mossa, e ad ogni modo le opzioni offerte da Windows nella gestione di archivi sono mostruosamente limitate e limitanti, mentre è un dato di fatto che il presentarli come "cartelle compresse" sia stata una delle mosse più fuorvianti che si potessero adottare, particolarmente nel contesto di uso da parte di utenti non smaliziati, che tipicamente vedranno apparire la familiare finestra di Esplora File dopo aver cliccato su un allegato e, già non avendo imparato che se non salvano l'allegato quello sta nei file temporanei e quando lo chiudono perdono tutte le modifiche, con gli archivi vedendo una cartella ne tratteranno i contenuti come file normalmente disponibili, chiamandoti poi in preda alla frustrazione quando non si comporteranno come tali, non si salveranno nella stessa cartella, e nel caso di questi nuovi formati, saranno pure di sola lettura.

Sarebbe invece stato intelligente distinguere inequivocabilmente l'interfaccia di tali finestre, in maniera impossibile da ignorare, tipo con una cornice integrale di una colorazione che catturi l'attenzione e suggerisca che non è possibile lavorare normalmente su tali contenuti, o per contro fare come in macOS e decomprimere l'rchivio automaticamente nella cartella dei Download predefinita e spostarsi dentro di essa, in fondo è ciò che interessa questi utenti.
bancodeipugni22 Agosto 2023, 09:54 #8
Originariamente inviato da: quartz
In bash, nella directory in cui si trovano tutte le cartelle che vuoi comprimere:

for f in *; do tar -zcvf ${f}.tar.gz ${f}; done

Non comprime/tarra simultaneamente, ma lo fa in sequenza in maniera automatica.


scriptando puoi provare a usare il jobserver
Opteranium22 Agosto 2023, 11:13 #9
Originariamente inviato da: quartz
In bash, nella directory in cui si trovano tutte le cartelle che vuoi comprimere:

for f in *; do tar -zcvf ${f}.tar.gz ${f}; done

Non comprime/tarra simultaneamente, ma lo fa in sequenza in maniera automatica.

grazie!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^