Tiedostojen pakkaamiseen ja purkamiseen käytettävästä WinRAR-ohjelmasta on löytynyt vakava haavoittuvuus. Asiasta kertoo Bleeping Computer.
Vakavimmissa tapauksissa haavoittuvuus voi vaarantaa ohjelmien käyttäjien tiedot. Haavoittuvuus on luokiteltu vakavaksi sen takia, että verkkorikolliset voivat käyttää aukkoa hyväkseen haittaohjelmien levittämisessä.
Käytännössä haavoittuvuutta voitaisiin käyttää hyväksi siten, että hyökkääjä järjestelee ja nimeää pakattavat tiedostot tietyllä tavalla. Kun WinRAR purkaa ne, tiedostoja voisi päätyä sellaisiin kansioihin, joiden sisältö suoritetaan automaattisesti seuraavalla kerralla kun laite käynnistetään.
Vaikka haittaohjelmilla ei olisi järjestelmänvalvojan oikeuksia, Bleeping Computerin mukaan ne voisivat silti varastaa esimerkiksi käyttäjän evästeitä tai tallennettuja salasanoja.
Haavoittuvuuden nimeksi on annettu CVE-2025-6218. Haavoittuvuus koskee versiota 7.11. ja sitä vanhempia versioita.
Käyttäjiä kehotetaan päivittämään WinRAR välittömästi uusimpaan versioon. Uusin versio on tällä hetkellä 7.12.
Suomessa asiasta kertoi ensin Tivi.