Faille de sécurité WinRAR : installez vite la dernière version !

Faille de sécurité WinRAR : installez vite la dernière version !

Attention si vous utilisez WinRAR pour décompresser des archives sur PC car une faille de sécurité a été découverte dans l'utilitaire ! Installez donc sans tarder la dernière version du logiciel pour corriger le problème.

2023 n'est sans doute pas la meilleure année dans l'histoire de RARLab, la société qui diffuse WinRAR, le célèbre logiciel de compression-décompression de fichiers pour Windows. Ainsi, à la fin du mois de mai, Microsoft annonçait à la surprise générale que Windows 11 saurait bientôt gérer en standard le format RAR, spécifique à WinRAR, en plus d'autres formats spécialisés comme le 7-zip ou le TAR (voir notre article). Certes, dans un premier temps – d'ici à la fin 2023 –, cette compatibilité devrait se limiter à la seule ouverture des archives RAR, la création – donc la compression – ne devant arriver qu'en 2024. Une très mauvaise nouvelle pour l'éditeur qui ne propose que ce logiciel à son catalogue. D'autant que si WinRAR est officiellement payant, on peut l'utiliser gratuitement sans limite, en s'accommandant simplement d'un petit message de rappel non bloquant. Et comme la plupart des utilisateurs de PC se contentent de décompresser des archives de fichiers récupérées sur le Net, la plupart devraient se satisfaire de la fonction intégrée à Windows, comme ils le font déjà pour les fichiers Zip, sans avoir besoin des options évoluées d'un logiciel spécialisé tel que WinRAR.

Faille de sécurité WinRAR : un danger à l'ouverture des archives

Mais comme si cette annonce n'était pas suffisante, RARLab a du affronter un problème bien plus urgent cet été. En effet, début juin 2023, un chercheur en sécurité contribuant au programmer Zero Day Initiative de Trend Micro a découvert une faille de sécurité dans WinRAR. Estampillée CVE-2023-40477, cette vulnérabilité permettait à des pirates d'exécuter du code à la décompression d'une archive RAR, c'est-à-dire à la simple ouverture d'un fichier RAR dans WinRAR... "Cette vulnérabilité permet à des attaquants distants d'exécuter du code arbitraire sur les machines dotées WinRAR. L'interaction de l'utilisateur est nécessaire pour exploiter cette vulnérabilité dans la mesure où la cible doit visiter une page malveillante ou ouvrir un fichier malveillant. La faille spécifique existe dans le traitement des volumes de récupération. Le problème résulte de l'absence de validation correcte des données fournies par l'utilisateur, ce qui peut entraîner un accès à la mémoire au-delà de la fin de la mémoire tampon allouée. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du processus en cours ", indique le bulletin de la Zero Day Initiative. Le genre de faille qui pouvait piéger des utilisateurs pressés ou inattentifs lors de l'ouverture d'une archive.

Fort heureusement, une fois informé du problème, RARLab a rapidement réagi. Et l'éditeur a comblé cette faille dans la version 6.23 de WinRAR déployée début août. L'éditeur a même profité de l'occasion pour corriger un bu mentionné dans les notes de version, qui pouvait conduire à l'exécution d'un mauvais fichier quand on double-cliquait sur un élément à l'intérieur d'une archive. Deux bonnes – et même excellentes ! – raisons de télécharger et d'installer sans plus attendre la mise à jour 6.23, déclinée en 32 et en 64 bits et dans plusieurs langues pour toutes les versions de Windows. 

Souhaitons que cette petite mésaventure estivale n'entame pas le moral de RARLab, qui parle de nouveaux projets pour la fin 2023. Et rappelons que si Microsoft va bien ajouter la gestion du format RAR à Windows 11, ce ne sera pas le cas pour les précédentes versions comme Windows 7 ou Windows 10 qui devront encore s'appuyer sur des outils spécialisés comme WinRAR ou 7-Zip pour compresser et décompresser des fichiers en RAR...