Исследователи из Check Point Research обнаружили ошибку, которой 19 (!) лет.

В подробном сообщении в блоге Check Point объяснил, что, переименовав файл ACE с расширением RAR, хакеры могут манипулировать WinRAR для извлечения вредоносной программы в папку запуска компьютера. Программа будет запускаться автоматически при запуске компьютера.

Check Point утверждает, что этот недостаток существовал в течение 19 лет. В ответ на сообщение в блоге, WinRAR быстро исправил уязвимость, выпустив бета-версию версии 5.70, в которой отказался от поддержки архивов ACE. Оказывается, что компания все равно использовала сторонний инструмент для распаковки архивов ACE, и он не обновлялся с 2005 года.

Кажется, этой уязвимостью никто не воспользовался. По крайней мере, в СМИ об этом ничего нет. Но 19 лет — это приличный срок для уязвимости, учитывая, что у WinRAR 500 миллионов потенциальных пользователей, можно сказать, что это серьезная ошибка со стороны компании.

Если вы один из тех 500 миллионов пользователей, то вы знаете, что нужно делать.