قامت WinRAR، أحد أهم أدوات أرشفة الملفات المستخدمة على نطاق واسع في نظام التشغيل ويندوز، بإصلاح ثغرة أمنية خطيرة كانت قادرة على تنفيذ أوامر برمجية في أجهزة الحاسوب عبر فتح ملفات الأرشيف. تُعتبر WinRAR واحدة من الأدوات المفضلة لملايين المستخدمين لأغراض الأرشفة والضغط وفك الضغط.
تم تتبع هذه الثغرة المهددة بالأمان باستخدام المعرف CVE-2023-40477، والتي كانت تتيح للمهاجمين تنفيذ تعليمات برمجية على الأنظمة الهدف عن بُعد، عقب فتح ملف RAR بشكل معين. الباحث المعروف بالاسم goodbyeselene من مبادرة Zero Day Initiative هو من اكتشف هذه الثغرة الخطيرة وقام بإبلاغ شركة RARLAB، المطورة لأداة WinRAR، بالثغرة في يونيو الماضي.
تنص تحذيرات أمان مبادرة Zero Day Initiative: "الثغرة تؤثر على عملية معالجة وحدات التخزين للاسترداد"، وأضافت "تنشأ المشكلة نتيجة عدم وجود تحقق من صحة البيانات المقدمة من قبل المستخدم، مما يمكن أن يؤدي إلى الوصول إلى الذاكرة بعد انتهاء المخزن المؤقت".
رغم أن الهجوم يتطلب إغراء الضحية لفتح ملف الأرشيف المصاب، فإن وجود عدد كبير من مستخدمي WinRAR يزيد من احتمالية نجاح الهجوم. تصنيف شدة الثغرة الأمنية هو 7.8 من 10، ومع ذلك، فقد يكون من الناحية العملية سهلًا جدًا إغراء المستخدمين لتنفيذ الإجراءات المخصصة.
تم إصدار النسخة 6.23 من WinRAR في أغسطس 2023، وهي تُعالج بفعالية ثغرة CVE-2023-40477، ومن المستحسن بشدة أن يقوم مستخدمو WinRAR بتحديث البرنامج على الفور لضمان الأمان.
وبالإضافة إلى ذلك، قامت RARLAB بمعالجة مشكلة في معالجة الأرشيفات المصممة بصورة خاصة في الإصدار 6.23 من WinRAR، مما يعزز الأمان ويقلل من احتمالية وجود ملفات فاسدة.
وفي مجال آخر، تجري مايكروسوفت حالياً اختبارًا لدعم ملفات RAR و 7-Zip في نظام ويندوز 11، مما قد يجعل الحاجة لبرامج الطرف الثالث مثل WinRAR غير ضرورية إلا في حالة الحاجة إلى ميزاتها المتقدمة.
لذلك، ينبغي على مستخدمي WinRAR الاستمرار في تحديث برنامجهم بانتظام، حيث استغل القراصنة ثغرات مشابهة في الماضي لنشر برامج ضارة.
وفي النهاية، يجب أن يظل المستخدمون على حذر من فتح ملفات RAR غير معروفة المصدر، ويفضل استخدام أدوات مكافحة الفيروسات التي تتيح فحص الأرشيفات للتأكد من سلامتها.
تابع موقعنا tech1new.com انضم إلى صفحتنا على فيسبوك و متابعتنا على Twitter ، أو أضف tech1new.com إلى موجز أخبار Google الخاص بك للحصول على تحديثات إخبارية فورية ومراجعات وشروحات تقنية
ليست هناك تعليقات:
إرسال تعليق