Portada
Hace 5 años | Por A_D a omicrono.elespanol.com
Publicado hace 5 años por A_D a omicrono.elespanol.com
Durante 19 años, un bug de WinRAR ha permitido que cualquiera ejecute malware en nuestro ordenador

Durante 19 años, un bug de WinRAR ha permitido que cualquiera ejecute malware en nuestro ordenador

 omicrono.elespanol.com

El bug se encuentra en UNACEV2.DLL, una librería usada por WinRAR que lleva sin ser actualizada desde 2005; es gracias a este código que WinRAR es compatible con archivos .ace. Los investigadores descubrieron una función de filtrado en la librería UNACEV2 que les permitió convertir una ruta segura en una protegida. Eso les permitió crear un “exploit”. La librería no fue creada por el equipo de WinRAR y por lo tanto no tienen el código fuente. Así que la única solución inmediata que han encontrado es eliminar el soporte de archivos .ace.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.8k 92

Comentarios

S

Bueno, hay errores peores.

comment_26418781 media
V 53
K 345
U221E__

#2 Jajajajaja Señor Polilla. No sabes cuanto lamento no poder darte más positivos...

V 0
K 7
geralt_

#2 https://www.reddit.com/r/PaidForWinRAR/

V 3
K 32
g
editado

#25 lol reddit nunca deja de sorprenderme.

V 0
K 6
Pixote

#25 https://www.reddit.com/r/PaidForWinRAR/comments/4b1g8p/cat_tongue_paid_for_winrar_reason_01010011/ lol lol lol lol lol

V 0
K 6
jhoker

#2 Si llamar libreria a las bibliotecas lol

V 1
K 12
donsoul

Yo uso 7zip

V 21
K 161
D

#6 Es lo mejor.

V 1
K 9
m

#15: Si, pero para comprimir no tiene para añadir registro de recuperación.

V 0
K 11
SalsaDeTomate

#6 Gracias, me quedo más tranquilo

V 6
K 59
donsoul

#34 De nada, lo dije pensando en ti, que sé que si no no pegas ojo esta noche.

V 1
K 19
snkarcade

#6 7zip pero sobretodo Izarc yo.

V 1
K 15
donsoul

#61 Pues no lo conocía. Lo probaré.

V 0
K 9
snkarcade

#63 Es genial. Lo uso desde hace años en entornos Win. Gratuito por supuesto y muy fiable.

V 0
K 6
M

#6 Pues entonces has de preocuparte por los bugs de 7zip

Cada uno con sus bugs y aquí paz y después gloria.

V 2
K 31
bikooo2

#71 bueno errores que parece que ya se han solucionado en las últimas versiones

V 0
K 6
M

#77 Igual que solucionarán este en sus próximas versiones.

V 0
K 11
bikooo2

#78 por supuesto, el problema estaría si una vez descubierto no lo arreglan

V 0
K 6
M

#79 Claro, pero a lo que yo iba es a que no sirve de nada decir "yo uso 7zip" porque mañana aparece un bug en 7zip y tienes tú el mismo problema.

V 2
K 35
D
editado

Rápido, pedid todos que os devuelvan el dinero de la licencia!

V 20
K 149
r

Ahora ya sabemos por que aunque no lo compraras lo podías usar libremente hasta el infinito.

V 17
K 145
box3d

WinACE.
Dios, que tiempos, no lo uso desde windows 98

V 5
K 61
Magog

#9 hostias WinAce!
Hay palabras que son como la escena esa de Ratatouille

V 2
K 26
mierdeame

#9 ola k ACE

V 4
K 40
Conde_Lito
editado

#9 Pues cuando te enteres que también descomprime los .ARJ
Que tiempos aquellos, C:>arj x -va archivo

Me gustaba mucho el formato de compresión ACE y el WinACE, más que el ZIP y el winzip.

V 2
K 33
m
editado

#9: Yo no lo uso desde que emitieron la película de Win ACE Ventura con Jim Carrey en cines.

V 0
K 11
Chimuelo

Si el bug sólo afecta a los ficheros ACE dejó de ser peligroso hace 18 años lol

V 5
K 49
neo1999

#45 ACE años

V 5
K 46
frankiegth
editado

'WinrarTM' ha secuestrado durante años millones de archivos .RAR con su formato cerrado y propietario pensado tan solo para 'pasar por caja'.

Hace años que los discos no tienen los problemas de espacio de antaño para poder permitirse comprimirlo todo con el conocido, abierto y estandarizado formato ZIP. El formato ZIP no es el que más comprime pero es el más accesible y sencillo de usar cuando de empaquetar carpetas y archivos se trata. Además todos los sistemas operativos traen por defecto instalado el compresor/decompresor del formato ZIP.

V 4
K 39
cdya

#29 Que buen chico no te bajas nada pirata.

V 0
K 9
frankiegth
editado

#37. ¿Para qué con las montañas de 'Software Libre' disponibles en los repositorios de cualquier distribución GNU/Linux?

Hasta el uso cotidiano y generalizado de las 'Redes Sociales', el visionado de muchos canales de 'Youtube' y la escucha de infinidad de 'Podcast en español' están haciendo cada día más prescibible el uso y las descargas de otros contenidos.
(CC #29)

V 0
K 11
frankiegth
editado

(Edit #44) #37 Quise decir : cada día más prescindible. E incluso irrelevante.

V 0
K 11
D

#29 Las especificaciones del formato RAR están disponibles, al igual que el código fuente del UnRAR: https://www.rarlab.com/rar_add.htm

Lo que es propietario es el compresor.

V 0
K 6
frankiegth
editado

#54. Lo que no impide que siga siendo 'software propietario' con todos sus inconvenientes añadidos. Hay tal cantidad de alternativas libres en cuanto compresión de archivos, incluyendo el clásico formato ZIP, que casi no merece la pena entrar a debatir sobre el tema.

#58. No lo veo una gran ventaja. Tampoco me fio de los archivos comprimido corruptos, muy bueno tiene que ser ese 'sistema de recuperación' para que arregle algo.
(CC #29)

V 0
K 11
m

#57: Pues depende de lo que se haya corrompido, pero siempre es mejor que tener nada.

Los sistemas anticucarachas Raid 5 creo que usan un sistema similar al del RAR, solo que con más redundancia, de forma que si se rompe un disco duro, la información es mucho más recuperable.

V 0
K 11
D

#57 Os guste o no, el RAR ha ganado, casi cualquier cosa que descargues de una página de warez o similar vendrá en RAR. El formato ZIP, a estas alturas, es una patata comparado con el RAR, y puedes descomprimir RAR sin problemas en cualquier sistema.

Y la recuperación de errores del RAR funciona, depende del porcentaje de datos de recuperación que añadas, pero funciona.

V 0
K 6
t

#60 Si quieres universalidad usas ZIP. Si quieres máxima compresión usas 7z o derivados.

Justamente el RAR está ahora mismo en una tierra de nadie: ni es el más difundido ni el que más comprime, por lo que se usa más por motivos históricos que por otra cosa. Eso no suele acabar bien.

V 0
K 7
M
editado

#69 Zip no comprime tan bien y 7zip no está tan difundido, entonces, el RAR precisamente porque está en tierra de nadie, entre una difusión que no es universal pero es grande, y una comprensión que no es la mejor pero sí que es mejor a la del zip, usamos RAR, porque está en equilibrio entre el ZIP universal pero mal comprensor y el todopoderoso 7ZIP pero poco popular.


Y eso de que 7zip comprime mejor, no sé yo.

V 0
K 11
t

#75 Pues dependerá de cada caso, pero en general 7zip es bastante mejor:

https://www.maketecheasier.com/7-zip-vs-winrar-vs-winzip/

De hecho, a WinRAR le gana hasta el ZIPx del Winzip

V 1
K 18
m
editado

#29: El formato RAR comprime bastante mejor y tiene registro de recuperación, cosa que ZIP no tiene.

Seven Zip comprime bastante bien (y PeaZIP aún mejor), pero tampoco tienen registro de recuperación.

V 0
K 11
t

#29 Lo dices como si el tamaño de las cosas no creciese también, a un ritmo igual o mayor que el de los discos duros.

Ese enfoque de "olvidemos la eficiencia, que ahora los megas son baratos" es tremendamente obtuso, y generalmente acaba en fracaso estrepitoso.

V 0
K 7
frankiegth
editado

#68. Estoy de acuerdo, pero justamente en el tema de la 'compresión de archivos' es donde le doy menos importancia. En este tema valoro más la accesibilidad y comodidad que la eficiencia. Además por norma general no se suelen comprimir archivos grandes, se suelen comprimir archivos pequeños en grandes cantidades por la comodidad que supone 'empaquetarlos' para poder moverlos con mayor facilidad y rapidez entre dispositivos de almacenamiento. Además comprimirlos sirve tambien para asegurar mejor la integridad de esa multitud archivos.
(CC #29)

V 0
K 11
bikooo2

#29 Para comprimir yo suelo usar el formato .7z y en menor medida .zip si algún archivo me llega en .rar lo descomprimo y si quiero seguir guardándolo lo comprimo en .7z y generalmente me ahorra más espacio que los .rar

V 1
K 17
saqueador

https://www.7-zip.org/
De nada.

V 4
K 38
p

Qué RARo. lol

V 3
K 33
I

Pues me vuelvo al ARJ de toda la vida, hombre ya

V 3
K 33
D

En ese artículo, de HOY, dice que lo acaban de descubrir y que actualicemos YA... y en la p´gina web la última versión es de hace un mes....

V 1
K 28
Peachembela

yo usaba arj por linea de comando

V 2
K 27
Lekuar

#26 Yo aún me acuerdo del PKUNZIP.EXE

V 2
K 26
Conde_Lito

Actualizad ya, dice la noticia. roll
La última revisión de la versión Alpha fue en Enero y la revisión de la estable en Octubre.

V 1
K 25
ElPerroDeLosCinco

Para lo que hemos pagado por él, como para buscarle pegas.

V 1
K 23
t

No uso windows 😰

V 1
K 21
Conde_Lito

#5 No pasa nada, también lo tienes tanto en versiones x86 como en x64 para Linux, FreeBSD y OS X

https://www.rarlab.com/download.htm

V 5
K 45
P

#18 afecta tb a esas versiones?

V 0
K 8
Conde_Lito
editado

#20 Afecta a todas las versiones actuales incluso la 5.61 que es la última versión creada en Octubre del pasado año.
Acabo de instalar la 5.61, ya que yo tenía la 5.50, y en ambas me viene soporte para descomprimir archivos .ACE

De todas formas si el bug lo han encontrado hace unos días las versiones actuales son anteriores a haber sido descubierto el bug, la versión Alpha es de Enero de este año y la versión estable como ya te he dicho de Octubre.

V 1
K 13
P

#39 hablo de diferentes SO

V 0
K 8
Conde_Lito

#46 Y todos traen soporte para los mismos formatos, los de WinRar no han especificado sistema operativo así que afectará a todos.
Igual a la hora de compilar el programa solucione el problema, pero teniendo en cuenta que está preparado y compilado para equipos X86/64, igual en un OS X para procesadores PPC te podías librar del bug ya que la programación no sería la misma y mucho menos la compilación del programa.

V 0
K 14
menjaprunes
editado

#20 #49 si no tienen el código de la librería esa con el fallo lo más seguro es que la versión de Linux no sea vulnerable, pero no he bajado el winrar para Linux para ver que librería usa para ace

Y lo mismo para otros sistemas operativos...

V 2
K 23
D

#39 Esta en circulacion la 57 beta2, ya no tiene soporte para ACE, unacev2.dll ha desaparecido. Pero hay otros programas que lo usan: antivirus para mirar dentro de los comprimidos, buscadores como Where is it.

V 1
K 20
Jokessoℝ

Me cago en la puta. Voy a salir un rato.Tengo que formatear el pc.

V 1
K 21
Trigonometrico

#13 Haber usado Linux.

V 0
K 11
D

El mío lo habrán controlado de otra manera, porque yo hace 20 años que ni uso windows ni winrar.

V 1
K 20
D

#14 No puede faltar esta imagen.

comment_26419231 media
V 13
K 127
Paracelso

#17 Ya sabes, los no windowseros son como los veganos, necesitan contarlo aunque nadie les pregunte.

V 7
K 71
D

#17 Ya te vale lol

V 0
K 9
Candidatas
19
meneos
tecnología EE.UU. estudia cómo frenar la tecnología de China con RISC-V
13
meneos
tecnología Amazon Prime Vídeo te estafa. Que no te tomen el pelo
10
meneos
tecnología La Audiencia Nacional de España niega a EEUU una extradición por uno de los mayores ciberataques de la historia: Conficker
11
meneos
tecnología Siemens Gamesa planea instalar un aerogenerador de 21 MW, el más potente del mundo
44
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
16
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
10
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
8
meneos
tecnología Sólo hay que añadir agua: Crea tus propios muebles con estos diseños de esponjas emergentes (ENG)
15
meneos
tecnología El proyecto Alia, el 'ChatGPT español' que entrena el Gobierno: "La calidad de las respuestas va a ser mucho mejor"
11
meneos
tecnología Dentro de los cartuchos de Super Nintendo [ENG]
8
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
6
meneos
tecnología La Mega Drive llega a España
23
meneos
tecnología musicForProgramming ();
7
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
6
meneos
tecnología Mi experiencia con Nintendo Switch en 7 años
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
11
meneos
tecnología Cápsula del tiempo: El clipart de principios de los 90 capturó una época (ENG)
9
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
c

Un poco sensacionalista.

Tal y como pone el titular, parecería que se trata de ejecución de código de forma remota, cuando no es así.

V 1
K 19
D

Yo también uso el 7Zip en W10, en Linux el que tiene Mint por defecto, se me ha ocurrido buscar en mis discos y:
* arj encontré algunos con ficheros del 2006 del VGA Planets.
* .rar tengo algunos de cosas que me he descargado, antiguas y recientes.

Me han venido a la mente extensiones como el arc, lhz, lzh que ya no se usan.

Ahora prácticamente solo comprimo directamente con el sistema en zip para mover archivos en la nube.

V 1
K 19
D

Haber pagado.

V 1
K 18
P

ARJ, LHA, ARC, ACE (era bueno, eh), etc. Hasta hace pocos años conservé viejas copias de seguridas en ACE...y antes el ARJ (por ser shareware y ser múltivolúmen). Cuando tu disco duro se medía en Megas, era MUY importante ahorrar espacio! Ay, qué nostalgia! Voy a usar el DOSBox y voy a jugar a Commander Keen...je je

V 1
K 17
M

#22 Probablemente no, espero que no, aunque es algo cuyas respuestas solo pueden ser "no lo sé" o "sí, estoy seguro" y ahí está el problema, que existe esa posibilidad desde 2005 y no podemos estar seguros de si alguien la explotó o no.

V 0
K 11
M

#23 Bueno, pero el artículo afirma que hace 19 años... y no esta claro que así haya sido. Mientras tanto, el riesgo del bug arranca desde el momento en que lo encontraron.

V 0
K 10
M

#32 Pero no sabemos cual fue el momento en que lo encontraron, a lo mejor alguien lo encontró al segundo día. Nosotros tan solo sabemos cuando alguien lo encontró y lo hizo público pero pudo no ser el primero. Normalmente ponen la fecha desde la cual existe el bug.

V 0
K 11
M

#70 Por eso, mientras tanto, hasta que se demuestre lo contrario, el bug existe desde que lo anunciaron en estos días.

V 0
K 11
M

#84 No, el bug existe desde 2005, y se hizo público desde estos días, pero existe desde 2005. Lo que ocurriera antes no lo sabemos ni lo podemos saber y como no lo podemos saber, debemos tomar precauciones desde 2005 y por eso se dice que existe un problema desde 2005.

Imagínate que hoy descubres una brecha en tu web que expone todas las contraseñas y que lleva existiendo desde 2005 ¿te sentarías tan tranquilo y dirías "es que la he descubierto hoy, entonces antes no existía, no hay problema"? Si fuese mía, yo recomendaría cambiar las contraseñas desde ese año, sepa o no sepa si se ha explotado antes, aunque luego mirase hasta donde llegó el problema, si se puede, pero el problema lo debes tomar desde que fue introducido en 2005.

V 0
K 11
Aokromes

#85 y la noticia ya se sabia hace 1 mes si leias el changelog lol
https://i.imgur.com/N9fhuk4.png

V 0
K 6
M

#86 Desde hace un mes o dos, es igual.

#87 A ver, que esto ya aburre.
Riesgo: Contingencia o proximidad de un daño.

Riesgo existió desde que se introdujo el bug. Si alguien lo hubiese explotado lo que existiría se llama daño.

Por lo pronto no sabes si alguien lo explotó o no. Decir que el problema existe desde la fecha en que se introdujo el bug es lo que se hace siempre.

V 1
K -2
M

#85 De manera preventiva habría que pedir cambiar todas las contraseñas, por su puesto. Sería irresponsable no hacerlo. Ahora, de ahí a que desde 2005 haya habido un riesgo real, es otra historia. Por lo pronto no hay información que indique que alguien lo descubrió antes y se aprovechó de ello.

Es como el árbol que cae en el bosque y nadie lo escucha.

V 0
K 11
b

Hace años que no lo instalo. Me quedo con 7ZIP.

Lo que tiene que mejorar 7ZIP, es su calculadora hash para los archivos partidos. Si hay un error, no te dice en cúal.

V 0
K 10
capitan__nemo

"investigadores de Check Point Software"
Demasiado cercanos a los creadores de stuxnet, es probable que no lo hayan descubierto sino que alguien que lo descubrió hace mucho tiempo les haya pasado el aviso para que lo publiquen ellos.

V 0
K 10
M
editado

Pero hay registros de que ese bug se haya conocido y haya sido aprovechado por alguien o recién ahora lo descubren? Porque eso de "Durante 19 años...", se torna muy relativo.

V 0
K 10
M
editado

Dicen que actualicemos winrar cuanto antes pero la última versión estable es la 5.61 de octubre del año pasado ¿nos pide que actualicemos a una beta?

#11 Es el tiempo que lleva esa librería ahí sin actualizar.

V 0
K 11
M

#21 Sisi, entendí que refiere a la data de la librería. Pero mi duda es si realmente durante 19 años nos ejecutaron malware o no. Porque si el bug no era conocido, era como si no existiese.

V 0
K 10
Lekuar

#21 ¿No bastaría con cepillarse esa librería?

V 1
K 20
M

#38 Supongo que sí.

V 0
K 11
j

#38 Si, de hecho es lo que ha hecho winrar... es una librería de una compañía externa que no se actualiza en 2005.

V 0
K 13
t

#11 La cuestión es que existía, que no se sepa si alguien lo ha aprovechado o no... pues obviamente si alguien lo conocía y lo aprovechó, no lo iba a contar a los cuatro vientos.

Después de ver todos los papeles de la NSA que publicó Snowden, y que hacían cosas mucho más elaboradas, no me extrañaría que una estrategia obvia de cualquier agencia de inteligencia fuera analizar exhaustivamente todos los potenciales agujeros de seguridad de las aplicaciones más utilizadas. Seguro que algún día sirven para algo...

V 0
K 7
cdya

yo he borrado el dll "UNACEV2.DLL" y sigue funcionando.

V 0
K 9
babel_esp

A mí no me afecta, yo uso el ARJ.

V 0
K 9
D
editado

Que me devuelvan el dinero!!!

V 0
K 8
D

Pues despues de 19 años usandolo, oye, ninguno ha ejecutado malware en mi PC.

V 0
K 8
D

#3 roll roll lol

V 0
K 9
D

Winrar no es el único que usa UnACEV2.dll.

V 0
K 6