Avis du CERTA : Multiples vulnérabilités dans WinRAR
mars 2008 par CERT-FR
1 Risque
* Exécution de code arbitraire ;
* déni de service.
2 Systèmes affectés
Les versions de WinRAR antérieures à la 3.71.
3 Résumé
De nombreuses vulnérabilités ont été corrigées dans la dernière version de WinRAR 3.71.
4 Description
Le logiciel WinRAR est vulnérable à de nombreuses vulnérabilités concernant le traitement de plusieurs formats d’archive. Elles ont toutes été corrigées sans distinction de sévérité. Les différentes vulnérabilités sont exploitables via un fichier d’archive spécifiquement construit.
5 Solution
Se référer au bulletin de mise à jour de l’éditeur RARLAB de mars 2008 pour l’obtention des correctifs (cf. section Documentation).
6 Documentation
* Bulletin de mise à jour de WinRAR de mars 2008 :
http://www.rarlab.com/rarnew.htm
* Avis de sécurité groupé du CERT Finlandais sur les vulnérabilités liées aux différents formats d’archive. (Paru le 17 mars 2008)
http://www.cert.fi/haavoittuvuudet/joint-advisory-archive-formats.html