WinRAR invite ses utilisateurs à passer en version 5.70, suite à la découverte d’une faille critique dans l’utilitaire. Un fichier au format .ACE, non mis à jour depuis 15 ans, était responsable de la brèche.
Une faille de 15 ans dans WinRAR
Avec plus de 500 millions d’utilisateurs réguliers à travers le monde, WinRAR est sans aucun doute l’un des plus populaires logiciels depuis la création du compactage. Même s’il n’est pas aujourd’hui sur l’intégralité des machines, ce programme demeure en effet l’un des plus anciens outils de compactage/décompactage du monde informatique.
Seulement voilà, une faille critique vient d’être découverte au cœur même du logiciel. Et le plus surprenant, c’est qu’elle s’y trouverait depuis près d’une quinzaine d’années, c’est en tout cas le constat fait par les informaticiens de la société Check Point ayant mis en lumière cette vulnérabilité.
Précisons toutefois qu’à l’instant de sa découverte, aucun cas d’exploitation de cette brèche n’avait encore été répertorié. Depuis la publication de cette information en revanche on a recensé plusieurs dizaines de cas d’exploitation de cette vulnérabilité aux États-Unis.
WinRAR abandonne son format .ACE
Selon un représentant de McAfee, et c’était semble-t-il une réaction prévisible, cette faille est donc actuellement la cible de hackers trop ravis d’en avoir été informés. De son côté, l’équipe responsable de WinRAR a déjà fait savoir qu’un patch en version 5.70 avait rapidement été diffusé pour contrer cette faiblesse.
Le problème persiste malgré tout, un trop grand nombre d’utilisateurs n’ayant selon la firme pas effectué cette mise à jour pourtant nécessaire. Un porte parole de WinRAR a donc relancé les internautes, les invitant à acquérir la dernière version au plus vite. Chez McAfee, on précise que dans le cas contraire, l’application WinRAR pourrait être utilisée pour introduire des codes malveillants sur les ordinateurs concernés.
Chez WinRAR, on précise avoir pris les mesures qui s’imposaient : « UNACEV2.DLL n’avait pas été mis à jour depuis 2005 et nous n’avons pas accès à son code source. Nous avons donc décidé de supprimer le support du format d’archive ACE pour protéger la sécurité des utilisateurs WinRAR ».
Dernière mise à jour le 8 mai 2019