WinRar llevaba 15 años con un grave agujero de seguridad, quizás es momento de que consideres esta alternativa

Investigadores de seguridad de Check Point Software descubrieron un fallo de seguridad en WinRar que ha estado presente en el conocido programa de compresión y descompresión de archivos desde hace casi 15 años, y que ha puesto nuestros equipos en riesgo sin que lo supieramos.

La vulnerabilidad se encuentra en una librería para Windows llamada unacev2.dll que se usa solo para analizar archivos ACE, un formato de compresión bastante viejo y poco usado. WinRar usa esta librería de terceros para descomprimir archivos ACE, y la misma no se ha actualizado desde el año 2005.

En la práctica, para que un atacante pueda aprovechar la vulnerabilidad necesita dirigir su ataque a través de WinRar o cualquier otra herramienta que use la librería en cuestión. Si el atacante lograr que alguien abra el archivo con WinRar podría incluso ejecutar código de forma remota en el ordenador de la víctima.

Como se trata de una librería privativa, en WinRar no tienen acceso a su código y por lo tanto no han podido corregir el fallo. La solución por la que se han decantado es por eliminar por completo el soporte para ACE en la versión beta actual 5.70. Lo que quiere decir que la próxima versión estable de WinRar debe estar protegida del bug. También han agradecido a los investigadores de Check Point Software por informarles del fallo.

Una alternativa a WinRar gratis y open source

Este fallo en WinRar fue causado por una librería defectuosa que dejó de tener soporte hace muchísimos años, una librería privativa a cuyo código fuente no podían acceder, por lo que han terminado eliminando el soporte para un formato que probablemente pocos van a extrañar, en pro de la seguridad. El detalles es que ha pasado desapercibido por 15 años.

Alternativas a WinRar hay bastantes, y además, gratuitas. WinRar es un programa de pago cuya licencia cuesta 36,24 euros, aunque la leyenda cuenta que es muy difícil encontrar alguien que la haya pagado.

Nuestra recomendación es apostar por una de las mejores soluciones gratuitas que existen en todas las plataformas y que además es de código abierto: 7zip. La mayor parte de su código fuente se distribuye bajo la licencia GNU LGPL, así que ahí no te vas a encontrar ni la de esta historia, ni otras librerías privativas.

7zip está disponible para casi cualquier versión de Windows, como p7Zip en Linux, o como paquete no oficial para múltiples distribuciones Linux, o hasta para FreeBSD, Amiga y Solaris. En macOS lo tienes distribuido como Keka de forma gratuita, y desde la Mac App Store puedes contribuir con 3 euros en su desarrollo.

Ver todos los comentarios en https://www.genbeta.com

VER 28 Comentarios

Portada de Genbeta