WinRAR, den førende filkomprimerings- og arkiveringssoftware, har netop lanceret version 7.12, der løser en alvorlig sikkerhedsrisiko, der påvirker tidligere versioner. Denne nye version indeholder vigtige sikkerhedsrettelser og funktionelle forbedringer, der øger både sikkerheden og ydeevnen af softwaren. Brugere opfordres kraftigt til at opdatere.
WinRAR 7.12 løser kritiske sikkerhedsproblemer. Opdater nu for at sikre, at dit system forbliver beskyttet.
SIKKERHEDSRETTELSER
Sårbarhed ved fjernkørsel af kode ved traversering af mapper (ZDI-CAN-27198)
I tidligere versioner af WinRAR, samt RAR, UnRAR, UnRAR.dll og den bærbare UnRAR-kildekode til Windows, kunne et specielt udformet arkiv indeholdende vilkårlig kode bruges til at manipulere filstier under udpakning. Brugerinteraktion er påkrævet for at udnytte denne sårbarhed, som kan medføre, at filer skrives uden for det tilsigtede bibliotek.
Denne fejl kan udnyttes til at placere filer på følsomme steder – såsom Windows Startup-mappen – hvilket potentielt kan føre til utilsigtet kodeudførelse ved næste systemlogin.
Dette problem påvirker kun Windows-baserede builds. Versioner af RAR og UnRAR til Unix, den bærbare kildekode på Unix og RAR til Android er ikke berørt.
Vi takker whs3-detonator, der samarbejder med Trend Micros Zero Day Initiative, for ansvarligt at have rapporteret denne sårbarhed.
HTML-injektion via arkiverede filnavne i rapportgenerering
Tidligere versioner af WinRAR inkluderede arkiverede filnavne i HTML-rapporter uden at rense dem ordentligt, hvilket gjorde det muligt for filnavne, der indeholdt HTML-tags, såsom scriptelementer, at vises direkte i den genererede rapport. Dette kunne have ført til potentielle sikkerhedsproblemer, hvis sådanne rapporter blev vist i en webbrowser. WinRAR 7.12 forhindrer nu dette ved at undvige specialtegn, hvilket sikrer, at filnavne ikke kan injicere HTML-indhold. Denne sårbarhed blev ansvarligt rapporteret af sikkerhedsforskeren Marcin Bobryk (github.com/MarcinB44), som vi takker for at have rapporteret dette problem.
FUNKTIONELLE FORBEDRINGER
Ud over disse vigtige sikkerhedsopdateringer introducerer WinRAR 7.12 funktionelle forbedringer, der har til formål at øge softwarens pålidelighed og præcision. En vigtig forbedring er den forbedrede test af gendannelsesvolumener. Når brugerne vælger både indstillingerne »Test arkiverede filer« og »Gendannelsesvolumener«, tester WinRAR nu gendannelsesvolumener som en del af processen. Tidligere var gendannelsesvolumener ikke inkluderet i testningen, hvilket betød, at de ikke blev verificeret. Denne ændring giver brugerne større tillid til integriteten af deres sikkerhedskopier, især når de er afhængige af gendannelsesvolumener til at reparere beskadigede eller ufuldstændige arkiver.
En anden væsentlig funktionel forbedring vedrører bevarelsen af Unix-nanosekund-tidsstempler. Når RAR-arkiver, der indeholder Unix-filposter, ændres på Windows-systemer, bevarer WinRAR nu den oprindelige nanosekund-tidsstempelpræcision. Ældre versioner af WinRAR konverterede disse tidsstempler til Windows-stil 100-nanosekund-præcision, hvilket resulterede i et tab af nøjagtighed. Denne forbedring er særlig vigtig for brugere, der beskæftiger sig med udviklingsworkflows, filsynkronisering, sikkerhedskopier eller versionskontrol, hvor nøjagtig tidsstempelpræcision er afgørende.
For en komplet liste over forbedringer, besøg:
