Faille ou pas faille ?
C’est la question qui se pose après les révélations de Mohammad Raza Espargham.
Ce chercheur en sécurité informatique a lancé l’alerte le 28 septembre sur SecureList. Il attire l’attention sur une vulnérabilité découverte dans WinRAR, le logiciel de (dé)compression de fichiers utilisé par « plus de 500 millions de personnes » à travers le monde.
La vulnérabilité en question touche toutes les versions de WinRAR jusqu’à la 5.21, dernière en date. Les risques qu’elle présente – exécution de code à distance sans privilèges particuliers et avec une intervention minimale de l’utilisateur – lui valent une note de 9,2 sur 10 dans l’échelle de criticité.
Le problème réside au niveau de la fonction « Texte et icône » dans le menu des options avancées accessible lors de la création d’une archive autoextractible (format SFX). Il est possible d’insérer du code HTML qui, lorsqu’il est exécuté à l’ouverture de l’archive, déclenche le téléchargement d’une charge utile malveillante.
Testée sur Windows 7 et Windows Server 2008, la faille est confirmée par Malwarebytes, qui précise toutefois avoir dû modifier la preuve de concept (PoC) proposée par Mohammad Raza Espargham afin qu’elle fonctionne (il s’agit peut-être d’une simple incompatibilité avec la version de Perl utilisée par le chercheur iranien).
Du côté de WinRAR, on relativise la situation : pas de correctif à l’ordre du jour… car on ne peut pas parler de vulnérabilité.
Les équipes de développement ont tenu à s’expliquer. Leur billet, rédigé dans un anglais assez approximatif, met l’accent sur la nature même des archives SFX : elle sont potentiellement tout aussi dangereuses qu’un exécutable ; c’est à l’utilisateur de se méfier des fichiers à la provenance douteuse.
Et de préciser qu’il « n’y a pas besoin d’exploiter une faille » pour élaborer une archive infectée. Consulter la documentation relative à la création d’archives SFX suffit.
On y découvre notamment la commande « Setup », qui permet d’exécuter un fichier. Mais aussi « Silent », qui saute la fenêtre de validation. Et « Overwrite », qui empêche l’affichage d’un message au cas où il existerait déjà un fichier du même nom dans le dossier de destination. Tout peut donc se passer au nez et à la barbe de la victime, sans technique particulière de hacking.
Crédit photo : 3DDock – Shutterstock.com
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
![](data:image/svg+xml;charset=utf-8,<svg height="272px" width="567px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
