Joskus ohjelmistoissa lymyilee haavoittuvuuksia, jotka ovat vanhoja ja joista kukaan ei ole ollut tietoinen. Check Point Softwre raportoi nyt WinRAR-pakkausohjelmasta löytyneestä bugista, joka ehti olla muuttumattomana osana ohjelmaa jo 19 vuoden ajan.
Check Point löysi WinRAR-haavoittuvuuden fuzzing-tekniikalla. Siinä ohjelmaan kohdistetaan suuria määriä satunnaista dataa, tavallaan viallisia syötteitä. Sen jälkeen ohjelman tuotoksia voidaan analysoida.
WinRAR on pakkausohjelma, jolla voidaan luoda RAR- ja ZIP-tiedostoja sekä purkaa useita pakkausformaatteja. WinRAR-haavoittuvuus liittyi yhden tietyn pakkausformaatin eli ACE-formaatin dll-kirjastoon.
Haavoittuvuuden takia ACE-datapaketin purkamisessa voidaan luoda tiedostoja satunnaisiin kansioihin myös pakkauksen tiedostorakenteen ulkopuolella. Periaatteessa reikä mahdollistaa haittakoodin asentamisen vaikkapa Windowsin Startup-kansioon, jolloin konetta seuraavan kerran käynnistettäessä ajetaan samalla myös haittakoodi.
WinRAR:n mukaan kyseisen dll-kirjaston on peräisin kolmannelta osapuolelta. Sen lähdekoodia ei enää ole olemassa, joten vian paikkaaminen olisi erittäin vaikeaa. tämän takia WinRAR yksinkertaisesti lopetti tuen ACE-pakkausformaatille työkaulustaan.
WinRAR:n mukaan sen pakkausohjelmistoa käyttää 500 miljoonaa käyttäjää.