SFX-архивы, созданные при помощи последней версии 5.21 архиватора WinRAR, имеют уязвимость, которая может представлять угрозу для компьютера пользователя. Как сообщает TNW News, речь идет о возможности загрузки из интернета исполняемого файла во время самораспаковки архива, причем пользователь не получит уведомления об этом.
Самораспаковывающийся архив WinRAR позволяет создавать пользовательские инструкции в формате HTML. Такие инструкции выводятся на экран в момент запуска архива. Как выяснили специалисты Vulnerability Lab, злоумышленник может скрыть в HTML-инструкции код загрузки из интернета исполняемого файла.
Какое именно количество пользователей может пострадать от обнаруженной уязвимости, неизвестно. По данным разработчиков WinRAR, их программой пользуются более 500 миллионов человек.
SFX-архив (self-extracting archive) представляет собой компьютерную программу, которая содержит в себе непосредственно архив с пользовательскими файлами и исполняемый код для его распаковки. Самораспаковывающимися архивами пользуются, как правило, в тех случаях, когда неизвестно, есть ли у пользователя, которому передается архив, программа для его распаковки.
Кроме того, очень часто самораспаковывающиеся архивы используют производители различного компьютерного оборудования. Например, обновления BIOS для компьютеров нередко выпускаются в SFX-архивах.