Please enter CoinGecko Free Api Key to get this plugin works.

Bl0ckch41nnewsVulnerabilidad en WinRAR (CVE-2023-40477) ~ Segu-Info

41


Se ha descubierto una vulnerabilidad crítica en WinRAR, la popular utilidad de
archivado de archivos para Windows. Identificada como
CVE-2023-40477, ha generado preocupación debido a su gravedad y al potencial que tiene para
permitir a los atacantes ejecutar comandos en una computadora simplemente al
abrir un archivo RAR.

El investigador
«goodbyeselene» de Zero Day Initiative
fue quien descubrió esta falla
en el procesamiento de los volúmenes de recuperación de WinRAR. La
vulnerabilidad radica en la falta de una validación adecuada de los datos
proporcionados por el usuario, lo que puede conducir a un acceso no autorizado
a la memoria más allá del final de un búfer asignado.

Esta debilidad podría ser explotada por atacantes remotos para ejecutar código
arbitrario en el sistema de destino.

Aunque la calificación de gravedad de esta vulnerabilidad se sitúa en 7.8 CVSS, no se debe
subestimar su peligro. A pesar de que engañar a los usuarios para que abran un
archivo pueda requerir cierta interacción, la realidad es que el tamaño de la
base de usuarios de WinRAR proporciona a los atacantes muchas oportunidades
para un exitoso ataque.

El proveedor RARLAB actuó con rapidez al ser notificado de la vulnerabilidad,
lanzando WinRAR
versión 6.23 el 2 de agosto de 2023, que aborda efectivamente la vulnerabilidad. Es crucial que los usuarios de
WinRAR apliquen esta actualización de seguridad tan pronto como sea posible
para reducir la exposición al riesgo.

Además de la corrección para el procesamiento de volúmenes de recuperación
RAR4, la versión 6.23 también soluciona otro problema grave relacionado con
archivos diseñados de manera especial, que podían causar un inicio incorrecto
del archivo.

Microsoft también está haciendo cambios en el panorama de archivos RAR.
Windows 11 está probando el soporte nativo para archivos RAR, 7-Zip y GZ.

Actualización 24/08: apareció y se corrigió otra vulnerabilidad Zero-Day.

Fuente:
BC




Source link

Los comentarios están cerrados.