תוקנה פגיעות אבטחה חמורה ב- WinRAR – תוכנת כיווץ קבצים פופולרית המשמשת מיליונים. פגם האבטחה איפשר להאקרים לבצע קוד שרירותי ולהפעיל נוזקות במערכת היעד לאחר פתיחת קובץ RAR. הפגיעות התגלתה על ידי חוקר סייבר בשם goodbyeselene מיוזמת Zero Day, שדיווחה על הפגם לספק – RARLAB ב- 8 ביוני 2023: "הפגם הספציפי קיים בעיבוד נפחי שחזור"; "הבעיה נובעת מהיעדר אימות נאות של נתונים שסופקו על ידי המשתמש", נכתב בייעוץ האבטחה שפורסם באתר ZDI.
לפי CVSS – The Common Vulnerability Scoring System (תקן תעשייה חופשי ופתוח להערכת חומרת פרצות אבטחה במערכות מחשוב), מכיוון שההאקרים צריכים להערים על קורבן לפתוח את ספריית הארכיון, ירד דירוג חומרת הפגיעות ל- 7.8. עם זאת, מנקודת מבט מעשית, הטעיית משתמשים לביצוע הפעולה הנדרשת לא אמורה להיות מאתגרת יתר על המידה ובהתחשב בגודל העצום של בסיס משתמשי WinRAR, יש להאקרים הזדמנויות רבות לניצול מוצלח של פגם האבטחה.
RARLAB שחררה את גירסת WinRAR 6.23 ב- 2 באוגוסט 2023. גירסה זו כוללת תיקון פגם האבטחה ולכן מומלץ מאוד למשתמשי WinRAR להחיל את עדכון האבטחה הזמין באופן מיידי. כמו כן, יש לציין כי מיקרוסופט בודקת כעת תמיכה ב- Windows 11 עבור קבצי RAR, 7-Zip ו- GZ, כך שתוכנת צד שלישי כמו WinRAR לא תידרש עוד בגרסה זו אלא אם יש צורך בתכונות המתקדמות שלה.
מי שממשיך להשתמש ב- WinRAR חייב לעדכן את התוכנה, שכן פגמי אבטחה דומים נוצלו בעבר על ידי האקרים כדי להתקין ולהפעיל נוזקות במערכות מחשוב. מלבד זאת מומלץ לנקוט זהירות לגבי קבצי RAR ולהשתמש בכלי אנטי וירוס שיכול לסרוק תיקיות ארכיונים.
