Faille ou pas faille ?
C’est la question qui se pose après les révélations de Mohammad Raza Espargham.
Ce chercheur en sécurité informatique a lancé l’alerte le 28 septembre sur SecureList. Il attire l’attention sur une vulnérabilité découverte dans WinRAR, le logiciel de (dé)compression de fichiers utilisé par « plus de 500 millions de personnes » à travers le monde.
La vulnérabilité en question touche toutes les versions de WinRAR jusqu’à la 5.21, dernière en date. Les risques qu’elle présente – exécution de code à distance sans privilèges particuliers et avec une intervention minimale de l’utilisateur – lui valent une note de 9,2 sur 10 dans l’échelle de criticité.
Le problème réside au niveau de la fonction « Texte et icône » dans le menu des options avancées accessible lors de la création d’une archive autoextractible (format SFX). Il est possible d’insérer du code HTML qui, lorsqu’il est exécuté à l’ouverture de l’archive, déclenche le téléchargement d’une charge utile malveillante.
Testée sur Windows 7 et Windows Server 2008, la faille est confirmée par Malwarebytes, qui précise toutefois avoir dû modifier la preuve de concept (PoC) proposée par Mohammad Raza Espargham afin qu’elle fonctionne (il s’agit peut-être d’une simple incompatibilité avec la version de Perl utilisée par le chercheur iranien).
Du côté de WinRAR, on relativise la situation : pas de correctif à l’ordre du jour… car on ne peut pas parler de vulnérabilité.
Les équipes de développement ont tenu à s’expliquer. Leur billet, rédigé dans un anglais assez approximatif, met l’accent sur la nature même des archives SFX : elle sont potentiellement tout aussi dangereuses qu’un exécutable ; c’est à l’utilisateur de se méfier des fichiers à la provenance douteuse.
Et de préciser qu’il « n’y a pas besoin d’exploiter une faille » pour élaborer une archive infectée. Consulter la documentation relative à la création d’archives SFX suffit.
On y découvre notamment la commande « Setup », qui permet d’exécuter un fichier. Mais aussi « Silent », qui saute la fenêtre de validation. Et « Overwrite », qui empêche l’affichage d’un message au cas où il existerait déjà un fichier du même nom dans le dossier de destination. Tout peut donc se passer au nez et à la barbe de la victime, sans technique particulière de hacking.
Crédit photo : 3DDock – Shutterstock.com
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…
Les offres d'intelligence artificielle générative (GenAI) "prêtes à l'emploi" sont nombreuses et proposent une variété…
OpenAI, l'inventeur de ChatGPT, lance un nouveau modèle text-to-vidéo qui impressionne par sa qualité. Appelé…
Google a officialisé le lancement de Gemini, le nouveau nom de son outil de GenAI.…