WinRAR
El icono de WinRAR. Eugene Roshal

WinRAR, uno de los programas para Windows más descargados de la historia, tiene desde hace casi dos décadas un fallo de seguridad que expone a millones de usuarios del sistema operativo.

El programa, que nos permite comprimir archivos para agruparlos, lleva 19 años teniendo una vulnerabilidad que pone en peligro nuestro PC.

Los investigadores de Check Point han publicado los detalles técnicos de esta vulnerabilidad en WinRAR, que afecta a todas las versiones lanzadas en los últimos 14 años.

El fallo reside en la forma en que una antigua biblioteca de terceros -llamada UNACEV2.DLL- utilizada por el software manejó la extracción de archivos comprimidos en formato de archivo de compresión de datos ACE. De esta forma, el problema es que WinRAR detecta el formato de los archivos basándose en su contenido, y no en la extensión, por lo que simplemente pueden cambiar la extensión .ACE a .RAR para que parezca un archivo normal.

Por eso, según cuentan los investigadores, "el fallo de la ruta de acceso permite a los atacantes extraer archivos comprimidos en una carpeta de su elección en lugar de la carpeta elegida por el usuario, lo que brinda la oportunidad de colocar código malicioso en la carpeta de inicio de Windows, donde se ejecutará automáticamente en el siguiente reinicio".

Según informa ADSLZONE, la solución de WinRAR es eliminar la librería. La biblioteca UNACEV2.DLL fue incluida en WinRAR en 2005, pero ha perdido el código fuente de ella, por lo que la solución por la que han optado es borrar directamente el archivo para arreglar el fallo. Así, a partir de la versión 5.70 Beta 1, el archivo ya no está presente y la vulnerabilidad está solucionada.