Popularni alat za kompresiju WinRAR zakrpao sigurnosnu rupu koja se vukla čak 19 godina

Popularni alat za kompresiju WinRAR zakrpao sigurnosnu rupu koja se vukla čak 19 godina

Popularni alat za kompresiju aplikacija WinRAR, prošlog je mjeseca zakrpao poveći sigurnosni propust, koji je u teoriji omogućavao hakerima postavljanje malwarea na sve verzije softvera unazad 19 godina. Srećom, prošle godine ranjivost je otkrivena od strane Check Point Softwarea i uspješno uklonjena zahvaljujući njegovim stručnjacima.

Konkretnije, ranjivost se nalazila u UNACEV2.DLL library, koji je dio apsolutno svake WinRAR verzije ikad puštene na tržište u posljednjih 19 godina. Taj library je zaslužan za "raspakiravanje" arhiva u ACE format. Upravo tim načinom se i mogao postaviti maliciozni kod u najboljem trenutku za hakere, odnosno, najgorem za korisnike.

Samo, ne postoji garancija da hakeri nisu iskoristili ranjivost prije no što je otkrivena i zakrpana. Samim time, više od pola milijarde WinRAR korisnika je bila u potencijalnoj opasnosti, a možda još i jest jer hakeri su kroz WinRAR mogli doprijeti do kompletnog sustava, a potom u njega implementirati maliciozni softver pa učiniti iznimnu štetu.

Primjerice, stručnjaci u Check Pointu su uspjeli kroz ranjivost postaviti malware u Windows Startup folder, što znači da bi se nakon pokretanja, računalo "zarazilo" i bilo u rukama onog tko je postavio ranjivost. Dokaz s tim potezom postavili su na YouTube, čime se potvrdila ozbiljnost cijele situacije i u WinRARu su je tako i shvatili kroz verziju 5.70 Beta 1 28. siječnja. Također, ranjivost su označili kao CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 i CVE-2018-20253.

Sad je jasnije i zašto se trgovci eksploatacija (eng., exploit vendors) toliko interesiraju za ranjivosti u softveru za kompresiju datoteka pa čak nude do stotinu tisuća američkih dolara kako bi se pronašle ranjivosti. Naime, teško je pronaći organizaciju koja ne koristi WinRAR, 7-Zip, WinZip ili tar, pa se pronalazak ranjivosti u njima iznimno cijeni.

Još iz kategorije

Zaštita osobnih podataka mora postati dio osobne i poslovne kulture

Zaštita osobnih podataka mora postati dio osobne i poslovne kulture

23.03.2019. komentiraj

U HGK je danas predstavljen projekt ZOP 2019. koji će se u iduća dva mjeseca fokusirati na podizanje svijesti o pravima na zaštitu osobnih podataka, naročito kod djece i mladih. U sklopu projekta održat će se niz događanja, uključujući i stručni kongres na kojem će sudjelovati Max Schrems, austrijski aktivist poznat po kampanjama protiv kršenja privatnosti zbog kojeg Google mora platiti 50 milijuna eura kazne.

Održana je treća postaja Maratona karijera

Održana je treća postaja Maratona karijera

22.03.2019. komentiraj

U srijedu 20. ožujka u 16 sati na Hrvatskim studijima u Zagrebu održana je treća postaja Maratona karijera, projekta udruge Studentski informativni kutak. Gostujuće predavačice bile su Kristina Gotovac i Anamarija Virant, a posvetile su se temama komunikacije te influencer marketinga uz što su ispričale i svoj put do uspjeha.

Koliko softver developera ima na svijetu?

Koliko softver developera ima na svijetu?

22.03.2019. komentiraj

Softver je danas svuda oko nas i njegov razvoj vještina koja se itekako vrednuje i traži na svakom koraku razvijenog dijela svijeta, što nas dovodi do pitanja o brojci softverskih developera diljema svijeta. Koliko njih stoji iza rješenja koja spajaju milijarde ljudi i oko devet bilijuna uređaja?