Сразу всех успокою: уязвимость скорее гипотетическая, т. к. касается распаковки архивов формата ACE, который на сегодняшний практически не используется. Однако, ознакомится с информацией всё же будет полезно.
Рекомендуемое в статье обновление программы производить не обязательно. Достаточно зайти в настройки WinRAR
Пункт меню "Параметры -> Установки..." -> Закладка "Интеграция"
и снять галочку, ассоциирующую WinRAR с архивами формата ACE.
Далее открыть папку, в которую у вас установлен WinRAR, и вручную удалить искомую библиотеку UNACEV2.DLL, исключив тем самым возможность вашей версии WinRAR работать с ACE-архивами.
И, наконец, сама статья с информацией об уязвимости:
Уязвимость в WinRAR существовала 19 лет и угрожает 500 млн пользователей
Специалисты компании Check Point сообщили о серьезной уязвимости в WinRAR и продемонстрировали эксплуатацию проблемы. Исследователи предупреждают, что всем 500 млн пользователей WinRAR может угрожать опасность, так как найденная проблема существует примерно 19 лет. Нужно отметить, что разработчики WinRAR уже устранили баг в прошлом месяце и выпустили исправленную версию.
Логический баг, найденный аналитиками, связан со сторонней библиотекой UNACEV2.DLL, которая входит в состав практически всех версий архиватора с незапамятных времен. Данная библиотека не обновлялась с 2005 года и отвечает за распаковку архивов формата ACE. Учитывая возраст библиотеки, совсем неудивительно, что исследователи Check Point обнаружили связанные с ней проблемы.
Оказалось, что можно создать специальный архив ACE, который при распаковке сможет поместить вредоносный файл в произвольном месте, в обход фактического пути для распаковки архива. К примеру, таким образом исследователям удалось поместить малварь в директорию Startup, откуда вредонос будет запускаться при каждом включении и перезагрузке системы.
Найденные специалистами проблемы (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253 ) были устранены с релизом WinRAR 5.70 Beta 1, в январе текущего года. Так как доступ к исходным кодам UNACEV2.DLL оказался давно утрачен, было принято решение отказаться от поддержки формата ACE вовсе.
Специалисты настоятельно рекомендуют пользователям как можно скорее установить обновления, а также проявить бдительность и до установки патчей не открывать архивы ACE, полученные от неизвестных источников (например, от незнакомцев по почте).
Источник: Уязвимость в WinRAR существовала 19 лет и угрожает 500 млн пользователей - «Хакер» [21/02/2019]
Сообщение отредактировал lifepusher: 21 Февраль 2019 - 23:00