نزدیک به نیم میلیارد کاربر در خطر یک آسیبپذیری اجرای کد از راه دور روز-صفرم قرار دارند که روی همهی نسخههای نرمافزار فشردهسازی محبوب WinRAR تاثیر میگذارد. کد سوءاستفاده از این آسیبپذیری منتشر شده است و نویسندهی آن ادعا کرده که این کد روی همهی نسخههای WinRARکار کند. به نظر این آسیبپذیری در حملات Phishing استفاده خواهد شد. با بهرهبرداری از این آسیبپذیری میتوان کد HTML و جاوااسکریپت در پسزمینهی نرمافزار WinRAR اجرا کرد.
در دو دههی گذشته، WinRAR یک نرمافزار محبوب جهت فشردهسازی پروندهها برای کاربران ویندوز بوده است و در نظراتی که در وبگاههای بارگیری مانند CNET و Softpedia در مورد این نرمافزار بیان شده، عموماً از آن تشکر شده است.
محقق ایرانی، محمدرضا اسپرغم، این حفره را به فهرست پستی Full Disclosure گزارش داد. اسپرغم درFull Disclosure نوشته بود : «این آسیبپذیری به مهاجمان از راه دور بدون مجوز اجازه میدهد که کد مخصوص سامانه را اجرا و به یک سامانهی هدف حمله کنند. مهاجمان از راه دور میتوانند آرشیوهای فشردهی خودشان را ایجاد کنند تا کدهای مخصوص سامانه در این آرشیوها قرار گیرد و فقط نیاز است که کاربر این آرشیو را باز کند تا کد حمله را اجرا نمایند.»
اسپرغم به این آسیبپذیری امتیاز تخریب ۹ از ۱۰ میدهد، چون نیاز به تلاش کمی برای بهرهبرداری داشته و فقط کافی است که کاربران پرونده را باز نمایند.
پروندههای تورنتِ بازیها و برنامههای مختلف، ابزاری مناسب برای حمله به صورت مخفیانه هستند. این آسیبپذیری هنوز شناسهی CVE، که اشکالات اساسی توسط آن ردیابی و امتیازدهی میشوند، دریافت نکرده است. مهاجمان میتوانند HTML و جاوااسکریپت را در آرشیوهای SFX تزریق کنند. سپس، در صورتی که پرونده توسط برنامه WinRAR از حالت فشرده خارج شد، این کدها میتواند اجرا شود.
به گفتهی Pieter Arntz، محقق MalwareBytes، کد سوءاستفاده برای این که درست کار کند، نیاز دارد تا به ظرافت پیادهسازی شود.
