Une preuve de concept vient d'être publiée sur la liste de diffusion Full Disclosure. Cette divulgation publique concerne une vulnérabilité de sécurité découverte dans WinRAR SFX v5.21 qui est la dernière version stable actuellement disponible du populaire logiciel de compression et décompression de fichiers.

Découverte par un chercheur en sécurité iranien, l'exploitation de la vulnérabilité permet à un attaquant distant d'exécuter du code arbitraire sur l'ordinateur d'une victime lorsque celle-ci ouvre une archive SFX infectée (un fichier compressé auto-extractible).

En l'occurrence, l'attaque repose sur l'écriture de code HTML spécialement conçu dans la fenêtre d'affichage de texte lors de la création d'un archive SFX (dans les options avancées pour SFX) :

SFX-Options
Malwarebytes a confirmé
la vulnérabilité (non corrigée) en précisant que des modifications triviales doivent être apportées à la preuve de concept afin de fonctionner. Pour Mohammad Reza Espargham, qui est le découvreur de la vulnérabilité, c'est une faille critique qui affecte toutes les versions de WinRAR.

WinRAR compterait plus de 500 millions d'utilisateurs dans le monde. Pour l'équipe de développement, il n'y a cependant pas de découverte d'une vulnérabilité. Elle explique que " les fichiers exécutables sont potentiellement dangereux par nature. […] Les archives SFX avec WinRAR ne sont pas plus ou moins dangereuses que les autres fichiers exécutables. "

A priori, il n'y aura donc pas de correction. Le bon conseil est que comme toujours, il faut se méfier de fichiers provenant de sources non sûres.