Det tok dem 19 år å rette grov feil

Det tok dem 19 år å rette grov feil
Programmet som er brukt av 500 millioner brukere, har hatt en grov feil i nesten 20 år.

Winrar, et program elsket av mange og hundrevis av millioner (500 for å være nær et korrekt tall) i mange, mange år for å pakke og pakke ut filer, har hatt et grovt hull i ufattelige 19 år.

Kan utnyttes kun ved å pakke ut

Det er Checkpoints forskere som har funnet feil:

“Check Points forskere fant en logisk feil i bruken av WinAFL fuzzer og utnyttet den i WinRAR (og i andre programmer). Utnyttelsen fungerer selv bare ved å pakke ut et arkiv, og setter over 500 million brukere i fare. Helt utrolig har denne feilen eksistert i over 19 år og tvunget WinRAR til fullstendig å droppe støtte for det sårbare formatet.”

Annonse

Dette var ved pressemeldingstid i går: nå melder Winrar at feilen er rettet i beta-versjon 5.70 som kan lastes ned her.

Dette melder Check Point om feilen

“For noen måneder siden bygde vårt team et fler-CPU “fuzzing lab” og begynte å “fuzze” binærfiler i Windows-miljøer ved hjelp av “WinAFL fuzzer”. Etter de gode resultatene vi fikk fra Adobe Research, bestemte vi oss for å utvide vår fuzzing-innsats og begynte å fuzze WinRAR også.”

“En av de krasjene som ble produsert av fuzzeren, førte oss til et gammelt, datert dynamisk link-bibliotek (.dll) som ble samlet tilbake i 2006, uten en beskyttelsesmekanisme (som ASLR, DEP, etc.) og som brukes av WinRAR. Vi snudde fokus og fuzzer til denne “lavt hengende frukt”-dll-en, og så etter en minnekorreksjonsfeil som forhåpentligvis ville føre til ekstern kjøring av kode.”

“Men, fuzzeren produserte også et test-tilfelle med “rar” oppførsel. Etter å ha undersøkt dette, fant vi en logisk feil: “Absolute Path Traversal”. Fra dette tidspunktet var det enkelt å utnytte dette sikkerhetsproblemet for ekstern kjøring av kode. Kanskje det også er verdt å nevne at det tilbys en betydelig sum penger i ulike bug-bounty-programmer for disse typer sikkerhetsproblemer.”

Slik fungerer det:

 

Kilde:
Check Point pressemelding

Annonse
Annonse