EDICIóN GENERAL
258 meneos
1771 clics
Durante 19 años, un bug de WinRAR ha permitido que cualquiera ejecute malware en nuestro ordenador

Durante 19 años, un bug de WinRAR ha permitido que cualquiera ejecute malware en nuestro ordenador

El bug se encuentra en UNACEV2.DLL, una librería usada por WinRAR que lleva sin ser actualizada desde 2005; es gracias a este código que WinRAR es compatible con archivos .ace. Los investigadores descubrieron una función de filtrado en la librería UNACEV2 que les permitió convertir una ruta segura en una protegida. Eso les permitió crear un “exploit”. La librería no fue creada por el equipo de WinRAR y por lo tanto no tienen el código fuente. Así que la única solución inmediata que han encontrado es eliminar el soporte de archivos .ace.

| etiquetas: winrar , bug , ace , malware
Qué RARo. xD
Bueno, hay errores peores.  media
#2 Jajajajaja Señor Polilla. No sabes cuanto lamento no poder darte más positivos...
#2 Si llamar libreria a las bibliotecas xD
Pues despues de 19 años usandolo, oye, ninguno ha ejecutado malware en mi PC.
Ahora ya sabemos por que aunque no lo compraras lo podías usar libremente hasta el infinito.
No uso windows {0x1f630}
#5 No pasa nada, también lo tienes tanto en versiones x86 como en x64 para Linux, FreeBSD y OS X

www.rarlab.com/download.htm
#18 afecta tb a esas versiones?
#20 Afecta a todas las versiones actuales incluso la 5.61 que es la última versión creada en Octubre del pasado año.
Acabo de instalar la 5.61, ya que yo tenía la 5.50, y en ambas me viene soporte para descomprimir archivos .ACE

De todas formas si el bug lo han encontrado hace unos días las versiones actuales son anteriores a haber sido descubierto el bug, la versión Alpha es de Enero de este año y la versión estable como ya te he dicho de Octubre.
#39 hablo de diferentes SO
#46 Y todos traen soporte para los mismos formatos, los de WinRar no han especificado sistema operativo así que afectará a todos.
Igual a la hora de compilar el programa solucione el problema, pero teniendo en cuenta que está preparado y compilado para equipos X86/64, igual en un OS X para procesadores PPC te podías librar del bug ya que la programación no sería la misma y mucho menos la compilación del programa.
#20 #49 si no tienen el código de la librería esa con el fallo lo más seguro es que la versión de Linux no sea vulnerable, pero no he bajado el winrar para Linux para ver que librería usa para ace

Y lo mismo para otros sistemas operativos...
#39 Esta en circulacion la 57 beta2, ya no tiene soporte para ACE, unacev2.dll ha desaparecido. Pero hay otros programas que lo usan: antivirus para mirar dentro de los comprimidos, buscadores como Where is it.
Yo uso 7zip
#6 Es lo mejor.
#15: Si, pero para comprimir no tiene para añadir registro de recuperación.
#6 Gracias, me quedo más tranquilo
#34 De nada, lo dije pensando en ti, que sé que si no no pegas ojo esta noche. :-D
#6 7zip pero sobretodo Izarc yo.
#61 Pues no lo conocía. Lo probaré.
#63 Es genial. Lo uso desde hace años en entornos Win. Gratuito por supuesto y muy fiable.
#6 Pues entonces has de preocuparte por los bugs de 7zip

Cada uno con sus bugs y aquí paz y después gloria.
#71 bueno errores que parece que ya se han solucionado en las últimas versiones
#77 Igual que solucionarán este en sus próximas versiones.
#78 por supuesto, el problema estaría si una vez descubierto no lo arreglan
#79 Claro, pero a lo que yo iba es a que no sirve de nada decir "yo uso 7zip" porque mañana aparece un bug en 7zip y tienes tú el mismo problema.
Rápido, pedid todos que os devuelvan el dinero de la licencia! :troll:
Haber pagado.
WinACE.
Dios, que tiempos, no lo uso desde windows 98
#9 hostias WinAce!
Hay palabras que son como la escena esa de Ratatouille
#9 ola k ACE
#9 Pues cuando te enteres que también descomprime los .ARJ :troll:
Que tiempos aquellos, C:>arj x -va archivo

Me gustaba mucho el formato de compresión ACE y el WinACE, más que el ZIP y el winzip.
#9: Yo no lo uso desde que emitieron la película de Win ACE Ventura con Jim Carrey en cines. :-P
Que me devuelvan el dinero!!!
Pero hay registros de que ese bug se haya conocido y haya sido aprovechado por alguien o recién ahora lo descubren? Porque eso de "Durante 19 años...", se torna muy relativo.
Dicen que actualicemos winrar cuanto antes pero la última versión estable es la 5.61 de octubre del año pasado ¿nos pide que actualicemos a una beta? ?(

#11 Es el tiempo que lleva esa librería ahí sin actualizar.
#21 Sisi, entendí que refiere a la data de la librería. Pero mi duda es si realmente durante 19 años nos ejecutaron malware o no. Porque si el bug no era conocido, era como si no existiese.
#22 Probablemente no, espero que no, aunque es algo cuyas respuestas solo pueden ser "no lo sé" o "sí, estoy seguro" y ahí está el problema, que existe esa posibilidad desde 2005 y no podemos estar seguros de si alguien la explotó o no.
#23 Bueno, pero el artículo afirma que hace 19 años... y no esta claro que así haya sido. Mientras tanto, el riesgo del bug arranca desde el momento en que lo encontraron.
#32 Pero no sabemos cual fue el momento en que lo encontraron, a lo mejor alguien lo encontró al segundo día. Nosotros tan solo sabemos cuando alguien lo encontró y lo hizo público pero pudo no ser el primero. Normalmente ponen la fecha desde la cual existe el bug.
#70 Por eso, mientras tanto, hasta que se demuestre lo contrario, el bug existe desde que lo anunciaron en estos días.
#84 No, el bug existe desde 2005, y se hizo público desde estos días, pero existe desde 2005. Lo que ocurriera antes no lo sabemos ni lo podemos saber y como no lo podemos saber, debemos tomar precauciones desde 2005 y por eso se dice que existe un problema desde 2005.

Imagínate que hoy descubres una brecha en tu web que expone todas las contraseñas y que lleva existiendo desde 2005 ¿te sentarías tan tranquilo y dirías "es que la he descubierto hoy, entonces antes no existía, no hay…   » ver todo el comentario
#85 y la noticia ya se sabia hace 1 mes si leias el changelog xD
i.imgur.com/N9fhuk4.png
#86 Desde hace un mes o dos, es igual.

#87 A ver, que esto ya aburre.
Riesgo: Contingencia o proximidad de un daño.

Riesgo existió desde que se introdujo el bug. Si alguien lo hubiese explotado lo que existiría se llama daño.

Por lo pronto no sabes si alguien lo explotó o no. Decir que el problema existe desde la fecha en que se introdujo el bug es lo que se hace siempre.
#85 De manera preventiva habría que pedir cambiar todas las contraseñas, por su puesto. Sería irresponsable no hacerlo. Ahora, de ahí a que desde 2005 haya habido un riesgo real, es otra historia. Por lo pronto no hay información que indique que alguien lo descubrió antes y se aprovechó de ello.

Es como el árbol que cae en el bosque y nadie lo escucha.
#21 ¿No bastaría con cepillarse esa librería?
#38 Supongo que sí.
#38 Si, de hecho es lo que ha hecho winrar... es una librería de una compañía externa que no se actualiza en 2005.
#11 La cuestión es que existía, que no se sepa si alguien lo ha aprovechado o no... pues obviamente si alguien lo conocía y lo aprovechó, no lo iba a contar a los cuatro vientos.

Después de ver todos los papeles de la NSA que publicó Snowden, y que hacían cosas mucho más elaboradas, no me extrañaría que una estrategia obvia de cualquier agencia de inteligencia fuera analizar exhaustivamente todos los potenciales agujeros de seguridad de las aplicaciones más utilizadas. Seguro que algún día sirven para algo...
Me cago en la puta. Voy a salir un rato.Tengo que formatear el pc.
#13 Haber usado Linux.
El mío lo habrán controlado de otra manera, porque yo hace 20 años que ni uso windows ni winrar.
#14 No puede faltar esta imagen.  media
#17 Ya sabes, los no windowseros son como los veganos, necesitan contarlo aunque nadie les pregunte.
#17 Ya te vale xD
Pues me vuelvo al ARJ de toda la vida, hombre ya
Actualizad ya, dice la noticia. :roll:
La última revisión de la versión Alpha fue en Enero y la revisión de la estable en Octubre. :shit:
yo usaba arj por linea de comando :-P
#26 Yo aún me acuerdo del PKUNZIP.EXE :-D
Un poco sensacionalista.

Tal y como pone el titular, parecería que se trata de ejecución de código de forma remota, cuando no es así.
'WinrarTM' ha secuestrado durante años millones de archivos .RAR con su formato cerrado y propietario pensado tan solo para 'pasar por caja'.

Hace años que los discos no tienen los problemas de espacio de antaño para poder permitirse comprimirlo todo con el conocido, abierto y estandarizado formato ZIP. El formato ZIP no es el que más comprime pero es el más accesible y sencillo de usar cuando de empaquetar carpetas y archivos se trata. Además todos los sistemas operativos traen por defecto instalado el compresor/decompresor del formato ZIP.
#29 Que buen chico no te bajas nada pirata.
#37. ¿Para qué con las montañas de 'Software Libre' disponibles en los repositorios de cualquier distribución GNU/Linux?

Hasta el uso cotidiano y generalizado de las 'Redes Sociales', el visionado de muchos canales de 'Youtube' y la escucha de infinidad de 'Podcast en español' están haciendo cada día más prescibible el uso y las descargas de otros contenidos.
(CC #29)
(Edit #44) #37 Quise decir : cada día más prescindible. E incluso irrelevante.
#29 Las especificaciones del formato RAR están disponibles, al igual que el código fuente del UnRAR: www.rarlab.com/rar_add.htm

Lo que es propietario es el compresor.
#54. Lo que no impide que siga siendo 'software propietario' con todos sus inconvenientes añadidos. Hay tal cantidad de alternativas libres en cuanto compresión de archivos, incluyendo el clásico formato ZIP, que casi no merece la pena entrar a debatir sobre el tema.

#58. No lo veo una gran ventaja. Tampoco me fio de los archivos comprimido corruptos, muy bueno tiene que ser ese 'sistema de recuperación' para que arregle algo.
(CC #29)
#57: Pues depende de lo que se haya corrompido, pero siempre es mejor que tener nada.

Los sistemas anticucarachas Raid 5 creo que usan un sistema similar al del RAR, solo que con más redundancia, de forma que si se rompe un disco duro, la información es mucho más recuperable.
#57 Os guste o no, el RAR ha ganado, casi cualquier cosa que descargues de una página de warez o similar vendrá en RAR. El formato ZIP, a estas alturas, es una patata comparado con el RAR, y puedes descomprimir RAR sin problemas en cualquier sistema.

Y la recuperación de errores del RAR funciona, depende del porcentaje de datos de recuperación que añadas, pero funciona.
#60 Si quieres universalidad usas ZIP. Si quieres máxima compresión usas 7z o derivados.

Justamente el RAR está ahora mismo en una tierra de nadie: ni es el más difundido ni el que más comprime, por lo que se usa más por motivos históricos que por otra cosa. Eso no suele acabar bien.
#69 Zip no comprime tan bien y 7zip no está tan difundido, entonces, el RAR precisamente porque está en tierra de nadie, entre una difusión que no es universal pero es grande, y una comprensión que no es la mejor pero sí que es mejor a la del zip, usamos RAR, porque está en equilibrio entre el ZIP universal pero mal comprensor y el todopoderoso 7ZIP pero poco popular.


Y eso de que 7zip comprime mejor, no sé yo.
#75 Pues dependerá de cada caso, pero en general 7zip es bastante mejor:

www.maketecheasier.com/7-zip-vs-winrar-vs-winzip/

De hecho, a WinRAR le gana hasta el ZIPx del Winzip :-)
#29: El formato RAR comprime bastante mejor y tiene registro de recuperación, cosa que ZIP no tiene.

Seven Zip comprime bastante bien (y PeaZIP aún mejor), pero tampoco tienen registro de recuperación.
#29 Lo dices como si el tamaño de las cosas no creciese también, a un ritmo igual o mayor que el de los discos duros.

Ese enfoque de "olvidemos la eficiencia, que ahora los megas son baratos" es tremendamente obtuso, y generalmente acaba en fracaso estrepitoso.
#68. Estoy de acuerdo, pero justamente en el tema de la 'compresión de archivos' es donde le doy menos importancia. En este tema valoro más la accesibilidad y comodidad que la eficiencia. Además por norma general no se suelen comprimir archivos grandes, se suelen comprimir archivos pequeños en grandes cantidades por la comodidad que supone 'empaquetarlos' para poder moverlos con mayor facilidad y rapidez entre dispositivos de almacenamiento. Además comprimirlos sirve tambien para asegurar mejor la integridad de esa multitud archivos.
(CC #29)
#29 Para comprimir yo suelo usar el formato .7z y en menor medida .zip si algún archivo me llega en .rar lo descomprimo y si quiero seguir guardándolo lo comprimo en .7z y generalmente me ahorra más espacio que los .rar
ARJ, LHA, ARC, ACE (era bueno, eh), etc. Hasta hace pocos años conservé viejas copias de seguridas en ACE...y antes el ARJ (por ser shareware y ser múltivolúmen). Cuando tu disco duro se medía en Megas, era MUY importante ahorrar espacio! Ay, qué nostalgia! Voy a usar el DOSBox y voy a jugar a Commander Keen...je je
En ese artículo, de HOY, dice que lo acaban de descubrir y que actualicemos YA... y en la p´gina web la última versión es de hace un mes....
yo he borrado el dll "UNACEV2.DLL" y sigue funcionando.
Si el bug sólo afecta a los ficheros ACE dejó de ser peligroso hace 18 años xD
#45 ACE años :-P
Para lo que hemos pagado por él, como para buscarle pegas.
Yo también uso el 7Zip en W10, en Linux el que tiene Mint por defecto, se me ha ocurrido buscar en mis discos y:
* arj encontré algunos con ficheros del 2006 del VGA Planets.
* .rar tengo algunos de cosas que me he descargado, antiguas y recientes.

Me han venido a la mente extensiones como el arc, lhz, lzh que ya no se usan.

Ahora prácticamente solo comprimo directamente con el sistema en zip para mover archivos en la nube.
Hace años que no lo instalo. Me quedo con 7ZIP.

Lo que tiene que mejorar 7ZIP, es su calculadora hash para los archivos partidos. Si hay un error, no te dice en cúal.
A mí no me afecta, yo uso el ARJ.
Winrar no es el único que usa UnACEV2.dll.
"investigadores de Check Point Software"
Demasiado cercanos a los creadores de stuxnet, es probable que no lo hayan descubierto sino que alguien que lo descubrió hace mucho tiempo les haya pasado el aviso para que lo publiquen ellos.

menéame