Une vulnérabilité dans le programme d’archivage WinRAR expose des millions d’utilisateurs et de tiers à un risque potentiel. Il est recommandé de mettre à jour le logiciel immédiatement.
WinRAR est un programme pour Windows qui permet de compresser et d’archiver des fichiers. Des chercheurs ont récemment découvert une vulnérabilité qui pourrait potentiellement mettre en danger des millions d’utilisateurs.
Les faits
La vulnérabilité a un score CVSS de 7,8 et a reçu le code CVE-2023-40477. Elle a été découverte le 8 juin par un chercheur en sécurité travaillant pour Zero Day Initiative, qui fait partie de Trend micro. Le 17 août, elle a été rendue publique.
Les chercheurs ont averti WinRAR et l’entreprise a publié un correctif le 2 août sous la forme d’une mise à jour du programme (version 6.23). Aussitôt, cette mise à jour corrige également quelques bogues moins graves.
Quand même, pour les utilisateurs de Windows 11, il existe une alternative. Ce système soutient depuis quelques mois les fichiers RAR par défaut, et il n’est donc plus nécessaire d’installer WinRAR pour ouvrir ces fichiers.
Le danger
CVE-2023-40477 donne à un code (malveillant) la possibilité de s’exécuter lorsque quelqu’un ouvre un fichier RAR. Le manque de données utilisateur pour valider l’ouverture d’un fichier archivé permet à un attaquant d’accéder à la mémoire.
Un tel fichier dépasse alors la mémoire tampon attribuée. Grâce à cette vulnérabilité, un pirate peut créer un fichier RAR pour exécuter du code.
WinRAR est un « shareware » (partagiciel) et peut donc être téléchargé gratuitement. On peut ensuite l’utiliser pendant plus d’un mois avant de commencer à payer. Par conséquent, le programme compte des centaines de millions d’utilisateurs, mais il est également populaire auprès de personnes avec de mauvaises intentions. WinRAR a eu d’autres failles, donc ce n’est pas la première fois. Le message n’a pas changé : il faut mettre à jour dans les meilleurs délais.