Risque

  • Exécution de code arbitraire

Systèmes affectés

WinRAR versions 3.50 et antérieures.

Résumé

Deux vulnérabilités dans WinRAR permettent à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance.

Description

Deux vulnérabilités sont présentes dans WinRAR :

  • une erreur dans la mise en œuvre de l'affichage de la fenêtre de diagnostic lors d'un décodage de fichier au format UUE ou XXE permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire par le biais d'un fichier encodé en UUE ou en XXE malicieusement construit ;
  • une erreur dans la mise en œuvre de la décompression des fichiers de type ACE permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire par le biais d'un fichier ACE malicieusement constitué.

Solution

Mettre à jour WinRAR en version 3.51 :

http://www.rarlabs.com/download.htm

Documentation