Uma falha de segurança de alta gravidade no WinRAR permitia acessar remotamente dispositivos com Windows, abrindo as portas para a realização de diferentes tipos de atividades maliciosas. Detalhes sobre o problema foram divulgados pela Zero Day Initiative na última quinta-feira (17).
Descoberta em junho pelo pesquisador de segurança “goodbyselene”, a vulnerabilidade em questão afetava o processamento de volumes de recuperação do programa. A falta de validação correta dos dados fornecidos pelo usuário possibilitava a gravação de dados fora dos limites da memória atribuída ao software.
Se explorada por cibercriminosos, a brecha poderia ser aproveitada para a execução remota de códigos maliciosos no computador da vítima, ao abrir um arquivo compactado com a ferramenta. Com isso, invasores teriam a chance de espalhar malware para roubar dados, realizar ataques com ransomware e outras práticas ilícitas.
Rastreada como CVE-2023-40477, a falha no WinRAR exigia a interação do usuário para ser explorada, induzindo o alvo a acessar um site fraudulento ou abrir um arquivo malicioso. Por conta dessa característica, ela recebeu a pontuação 7,8 em um índice de risco que chega a 10.
Atualize para corrigir a vulnerabilidade
A boa notícia para quem usa o popular compactador e descompactador de arquivos é que a vulnerabilidade já foi corrigida pelos desenvolvedores do utilitário. A solução está no WinRAR 6.23, lançado no dia 2 de agosto, que pode ser baixado no site da RARLAB — recomenda-se a instalação imediata para mitigar possíveis ameaças.
O update também corrige outros tipos de bugs encontrados recentemente no programa, como a abertura de um arquivo errado após o usuário clicar duas vezes em um item, em um arquivo especialmente criado. A compilação soluciona ainda o erro que levava à aplicação de temas de interface a ícones de arquivo mesmo com tal opção desativada.
Embora o WinRAR tenha grande popularidade, característica que tornava a exploração vantajosa para os criminosos virtuais, não há registros de ataques cibernéticos realizados a partir do bug, até o momento.
João Marcelo de Assis Peres
joao.marcelo@guiadocftv.com.br
GuiadoCFTV
Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?
Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’
Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br