Bug en WinRAR pondría en peligro a 500 millones de equipos

El investigador de seguridad Mohammed Reza ha descubriendo un bug en el software WinRAR (versión 5.21) que pondría en riesgo a los aproximadamente 500 millones de equipos que utilizan este software de compresión. Este problema de seguridad tiene lugar cuando adrede se genera un autoejecutable (SFX) que permite al atacante añadir un código malicioso que ejecuta el usuario nada más abrirlo sin necesidad de extraer los archivos.

Con el código ya inyectado en el equipo, se puede acceder a datos personales del usuario, por lo que es aún más peligroso si este es un administrador, ya que podrá ejecutar sin saberlo un exploit que trabajará en segundo plano recopilando toda la información. En la escala CVSS (Common Vulnerability Scoring System) el bug está catalogado con una puntuación de 9.2 puntos o Crítico, sin embargo RARLAB, desarrollador de WinRAR, restó importancia a dicha vulnerabilidad, ya que indica que un archivo autoejecutable es un ejecutable en si mismo (algo que requiere de un manejo cuidadoso para empezar), por lo que un atacante malicioso puede lograr los mismos resultados mediante el uso de otras funciones de extracción automática de archivos de WinRAR.

Si tras leer esta noticia no te hace gracia seguir usando WinRAR, Te podemos recomendar el 7-Zip, de código abierto (gratuito) y más rápido.