WinRAR arregló un bug que por 19 años dejó a millones de usuarios vulnerables

winrar

El análisis realizado por una compañía experta en seguridad detectó la peligrosa falla en el popular programa, la cual exponía los discos duros.


Este 21 de enero WinRAR arregló una falla que por 19 años había puesto en riesgo a los usuarios de su popular software de compresión. La tardía respuesta de la compañía se debe a que el error recién fue descubierto gracias a una investigación de la empresa de seguridad Check Point Software Technologies.

Los investigadores de Check Point se dieron cuenta de que el soporte de WinRAR para el formato de archivo ACE (que ya no existe),  significaba que todavía dependía de un archivo DLL, el cual databa desde 2006 y por supuesto ya no contaba con ningún tipo de soporte por parte de los desarrolladores.

En ese panorama, luego de una extensa investigación, desde la compañía de seguridad determinaron que simplemente cambiando el nombre de un archivo ACE para darle una extensión RAR, se podía hacer que WinRAR extrajera un programa malicioso a la carpeta de inicio de cualquier computador.

Es decir, el error dejaba todo preparado para que el programa malicioso se ejecutara inmediatamente la próxima vez que se encendiera el equipo.

Si bien, la investigación de Check Point es minuciosa y bastante técnica, el siguiente video explica claramente como operaba este bug:

https://youtu.be/R2qcBWJzHMo

Check Point destaca en su publicación que, pese a que no han existido reportes de afectados, este problema data desde el 2000. Hace 19 años. Un período bastante amplio para descartar de plano que nadie se haya sido víctima de la falla.

Por lo tanto, para no llegar a las dos décadas del bug, WinRAR se apresuró en arreglar el problema lanzando una versión 5.70 beta 1 en la que eliminó de raíz el soporte para archivos ACE. Una decisión lógica considerando que el único programa capaz de crear los archivos, WinACE, no se ha actualizado desde 2007.

WinRAR tiene 500 millones de usuarios a nivel mundial, por lo que por la duración del bug sería descabellado pensar que nadie se vio perjudicado por este problema. Aunque, como hasta hoy era desconocido, es imposible estimar una cifra de afectados.

Comenta

Por favor, inicia sesión en La Tercera para acceder a los comentarios.