•Закладки •Поиск •Участники •Благодарности •Репутация

Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6994-й день

Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua

forum.0day.community > Технический > Системное администрирование > Взлом и Защита

Критическая уязвимость в WinRAR

Опции

Koka-ftp	Feb 21 2019, 11:36 Пост #1
Репутация: 909 Старожил Группа: Пользователи Сообщений: 3 280 С нами с: 10-April 08	Для успешной атаки злоумышленнику потребуется просто убедить жертву распаковать вредоносный архив с помощью WinRAR. Специалисты компании Check Point раскрыли информацию о критической уязвимости в популярном архиваторе для Windows, аудитория которого насчитывает более полумиллиарда пользователей по всему миру, позволяющей выполнить код на целевой системе. Для успешной атаки злоумышленнику потребуется всего лишь обманом заставить жертву распаковать вредоносный архив. Уязвимость обхода каталога, получившая несколько идентификаторов (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253), затрагивает все версии WinRAR, выпущенные за последние 19 лет. Проблема кроется в устаревшей сторонней библиотеке UNACEV2.DLL, используемой архиватором для распаковки файлов в формате ACE. Поскольку WinRAR распознает формат по содержимому файла, а не его расширению, атакующим потребуется всего лишь изменить расширение .ace на .rar, чтобы замаскировать вредоносный архив. » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « Extracting Code Execution from WinRAR Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем. Таким образом они могут поместить вредоносный код в папку автозагрузки Windows, который будет автоматически выполняться при каждой загрузке системы. Как видно на видео ниже, для полной компрометации системы злоумышленнику потребуется просто убедить пользователя распаковать вредоносный архив с помощью WinRAR. Подробнее: https://www.securitylab.ru/news/498047.php?...AN62wFM6T0ga1GY

Ответов(1 - 15)

Allex	Feb 21 2019, 12:20 Пост #2
Благодарности: 348 Репутация: 1435 Sphynx in Mirror Группа: Модеры Сообщений: 23 053 С нами с: 2-February 07	Блокировать эту уязвимость просто - удалить UNACEV2.DLL.

kym	Feb 21 2019, 12:32 Пост #3
Благодарности: 184 Репутация: 918 ultra active user Группа: Модеры Сообщений: 11 382 С нами с: 12-March 07	удалить откуда? я такие библиотеки нашел во вьюверах adc и xnview, в тоталкоммандере, в винраре вестимо...

Koka-ftp	Feb 21 2019, 13:22 Пост #4
Репутация: 909 Старожил Группа: Пользователи Сообщений: 3 280 С нами с: 10-April 08	(kym @ Feb 21 2019, 12:32) удалить откуда? я такие библиотеки нашел во вьюверах adc и xnview, в тоталкоммандере, в винраре вестимо... \WinRAR\Formats

Allex	Feb 21 2019, 13:58 Пост #5
Благодарности: 348 Репутация: 1435 Sphynx in Mirror Группа: Модеры Сообщений: 23 053 С нами с: 2-February 07	(kym @ Feb 21 2019, 12:32) удалить откуда? я такие библиотеки нашел во вьюверах adc и xnview, в тоталкоммандере, в винраре вестимо... Вот отовсюду и удалить.

kym	Feb 21 2019, 14:05 Пост #6
Благодарности: 184 Репутация: 918 ultra active user Группа: Модеры Сообщений: 11 382 С нами с: 12-March 07	Вот отовсюду и удалить. т.е. ты утверждаешь, что эта длл заведома троян? а проги без нее свое назначение будут выполнять? походу изначально библиотека нужна таки для просмотра \WinRAR\Formats понял начнем отседова... кстати, аж слезу пустил... винрар у меня аж 2003 года, во всяком случае по файлам егойным это уже тогда троян вписали?

Koka-ftp	Feb 21 2019, 14:11 Пост #7
Репутация: 909 Старожил Группа: Пользователи Сообщений: 3 280 С нами с: 10-April 08	(kym @ Feb 21 2019, 14:05) это уже тогда троян вписали? это не троян а уязвимость

kym	Feb 21 2019, 14:14 Пост #8
Благодарности: 184 Репутация: 918 ultra active user Группа: Модеры Сообщений: 11 382 С нами с: 12-March 07	понял длл из винрарар удалил файлы по расширениям его папки форматс открывает

imenno	Feb 21 2019, 20:54 Пост #9
Репутация: 970 Мистер Равлик Группа: Пользователи Сообщений: 16 192 С нами с: 24-March 06	в любом случае эту экзешку видно в архиве, может просто не распаковывать все подряд, а открыть в раре и посмотреть, что внутри

Allex	Feb 21 2019, 21:58 Пост #10
Благодарности: 348 Репутация: 1435 Sphynx in Mirror Группа: Модеры Сообщений: 23 053 С нами с: 2-February 07	(kym @ Feb 21 2019, 14:05) т.е. ты утверждаешь, что эта длл заведома троян? Не троян, а уязвимость. И да, если Total будет открывать такой же сконструированный ACE архив через нее - она сработает так же, как и в WinRAR. Потому - удалить ее стоит из всех мест, где она встречается. а проги без нее свое назначение будут выполнять? Нет, ACE они разбирать без нее не смогут. Остальное - должно остаться без изменений.

melll	Feb 22 2019, 14:03 Пост #11
Репутация: 0 Дух Группа: Пользователи Сообщений: 28 С нами с: 12-April 11	(kym @ Feb 21 2019, 12:32) удалить откуда? https://aback.com.ua/31744-Uyazvimost-WinRA...lzovateley.html

zeppelin	Feb 22 2019, 14:35 Пост #12
Репутация: 10 Дух Группа: Пользователи Сообщений: 61 С нами с: 16-March 06	А кто пользуется архивами ACE?

Koka-ftp	Feb 22 2019, 14:36 Пост #13
Репутация: 909 Старожил Группа: Пользователи Сообщений: 3 280 С нами с: 10-April 08	(zeppelin @ Feb 22 2019, 14:35) А кто пользуется архивами ACE? вопрос не в том "кто пользуется", а кто "мог-бы":)

imenno	Feb 22 2019, 20:32 Пост #14
Репутация: 970 Мистер Равлик Группа: Пользователи Сообщений: 16 192 С нами с: 24-March 06	(zeppelin @ Feb 22 2019, 14:35) А кто пользуется архивами ACE? могут подкинуть архив "ace" с расширением "rar" и делов то. архиватор не смотрит на расширение файла, а на структуру что внутри и ему все равно какое расширение, распаковал его думая что это рар, а это был эйс и файлик шпионский уже в автозагрузке или еще где либо. Сообщение отредактировал imenno - Feb 22 2019, 20:33

Barnum	Feb 23 2019, 12:36 Пост #15
Благодарности: 785967 Репутация: 3257 Twinsen Группа: Модеры Сообщений: 10 837 С нами с: 6-May 06	Начиная с 5.70b1 winrar отказался от поддержки ace: 17. Nadav Grossman из компании Check Point Software Technologies сообщил нам об угрожающей безопасности уязвимости в библиотеке UNACEV2.DLL. Данная уязвимость позволяет создавать файлы в произвольных папках внутри или вне целевой папки при распаковке архивов ACE. WinRAR использовал эту библиотеку стороннего разработчика для распаковки архивов ACE. Библиотека UNACEV2.DLL не обновлялась с 2005 года, и у нас нет доступа к её исходному коду. По этой причине мы решили отказаться от поддержки архивного формата ACE, чтобы не подвергать риску пользователей WinRAR.

kym	Feb 23 2019, 17:57 Пост #16
Благодарности: 184 Репутация: 918 ultra active user Группа: Модеры Сообщений: 11 382 С нами с: 12-March 07	так получается, что и в парке формс также надо удалить и файлик ace.fmt ибо он нафик не нужен кстати там же нет ничего, что явно укажет на архив в рар Сообщение отредактировал kym - Feb 23 2019, 17:57

« Предыдущая тема · Взлом и Защита · Следующая тема »

Стиль отображения: Переключить: Стандартный · Линейный · Переключить: Каскадный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

Удалить установленные форумом cookies · Отметить все сообщения прочитанными · Кто онлайн?

Упрощённая версия

Сейчас: 9th May 2025 - 11:57

Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст.