WinRAR es una aplicación muy popular (cada vez más popular, de hecho), contando con millones de usuarios… que también lo convierten en un objetivo apetitoso para los ciberdelincuentes. De hecho, recientemente se ha descubierto una vulnerabilidad (identificada con el código CVE-2023-40477) crítica en la aplicación que podría permitir la ejecución de código malicioso…
…sólo con que el usuario abra un archivo RAR, sin necesidad de que clique en ninguno de los ficheros que contiene. Esto, claro está, pone en grave riesgo la seguridad y los datos de los usuarios. De hecho, cuenta con una puntuación de 7.8 sobre 10 en el índice CVSS, que mide la severidad de las vulnerabilidades recién descubiertas.
Eso es lo que ha llevado a la Guardia Civil a recomendar públicamente en Twitter a actualizar a la nueva versión:
Así se solventó
'Goodbyeselene', un investigador de seguridad de la Zero Day Initiative descubrió este problema el pasado 8 de junio y la notificó al desarrollador RARLAB. El pasado jueves, la vulnerabilidad fue dada a conocer públicamente… pero para entonces RARLAB ya había lanzado una versión actualizada del programa (WinRAR 6.23), que resolvía esta vulnerabilidad.
La versión corregida, WinRAR 6.23, no solo aborda la vulnerabilidad crítica mencionada, sino que también soluciona otro problema similar relativo a un inicio incorrecto de archivos al hacer doble clic en un elemento de un archivo comprimido.
Además, se ha implementado la eliminación inmediata de archivos temporales creados durante la extracción de múltiples archivos comprimidos: anteriormente, sólo se eliminaban en las siguientes ejecuciones de WinRAR y sólo si tenían al menos 1 hora de antigüedad.
En resumen: los usuarios que usan WinRAR y aún no han actualizado a la última versión deben hacerlo de inmediato: ya está disponible para su descarga desde la web oficial de RARLAB (que es el único sitio desde el que deberíais descargarla, por cierto).
En resumen, un ejemplo de colaboración entre investigadores de ciberseguridad y compañía desarrolladora de software… y también de la importancia de mantener el software de nuestro equipo lo más actualizado posible en un entorno digital en el que las amenazas no dejan de multiplicarse.
Ver 1 comentarios