Onlangs is er een ernstige kwetsbaarheid aan het licht gekomen in het veelgebruikte programma WinRAR. Met een gebruikersbestand van maar liefst 500 miljoen wereldwijd, heeft deze ontdekking potentieel verregaande gevolgen. De kwetsbaarheid, bekend als CVE-2023-40477, is tevens beoordeeld met een ernstscore van 7.8 op 10, wat wijst op het aanzienlijke risico dat ermee gepaard gaat.
Deze kwetsbaarheid betreft een zogenaamde 'out of bounds' beveiligingslek, zoals beschreven door de ontdekker "goodbyeselene" van het Zero Day Initiative (ZDI) die het op 8 juni 2023 aantrof. Volgens de ontdekker kan dit leiden tot ongeautoriseerde toegang tot delen van het geheugen die normaal niet toegankelijk zouden moeten zijn, door ontoereikende validatie van gebruikersinvoer. In de praktijk betekent dit dat kwaadaardige code kan worden uitgevoerd op een kwetsbaar systeem.
Nadat ZDI de kwetsbaarheid had gemeld aan Rarlab, heeft laatstgenoemde op 2 augustus versie 6.23 van WinRAR uitgebracht waarin deze kwetsbaarheid is verholpen. Op 17 augustus 2023 heeft ZDI de ontdekking publiekelijk bekendgemaakt.
Indien u gebruikmaakt van WinRAR, wordt ten zeerste aangeraden om de nieuwste versie van het programma te downloaden vanaf de officiƫle website van Rarlab: https://www.rarlab.com/download.htm