Noticias

Mostrando 107 noticias Imprimir artículo Imprimir | Tamaño de letra: A | A

Página  Primera    4 5 [6] 7 8    Última

Noticia incorrecta sobre vulnerabilidad en WinRAR

2 De Octubre De 2015

Recientemente se han publicado varias noticias sobre una supuesta vulnerabilidad en WinRAR 5.21 que puede representar una amenaza para la seguridad de sus usuarios.

Esta noticia es incorrecta, no hay ninguna vulnerabilidad en WinRAR y se puede usar sin peligro alguno.

Esta noticia fue publicada en sitios como ABC o La Vanguardia en la que se indica que se trata de un aviso del Instituto Nacional de Ciberseguridad (INCIBE). Efectivamente, esta noticia fue publicada originalmente por la Oficina de Seguridad del Internauta del INCIBE como un Grave fallo de seguridad en WinRAR. En ella se indica que es posible enviar un fichero RAR comprimido e infectar con él al usuario que lo recibe cuando este lo descomprime. En el detalle se mencionan los ficheros .sfx sin indicar de que se trata exactamente. Además esta noticia recomienda utilizar otro software de compresión alternativo.

En primer lugar es imposible añadir código malicioso a un archivo RAR y conseguir que el usuario que lo descomprima se infecte automáticamente.

Esto solo es posible hacerlo usando archivos SFX, que son archivos autoextraíbles en formato .exe. Estos archivos pueden ejecutarse directamente sin tener WinRAR instalado, por tanto, todos los usuarios que reciban y abran archivos .exe con código malicioso son vulnerables, tanto si tienen WinRAR instalado como si no lo tienen instalado. Curiosamente, los usuarios que tengan WinRAR instalado pueden descomprimir estos archivos .exe maliciosos a través de WinRAR sin tener que ejecutarlos y sin correr absolutamente ningún riesgo.

Vamos hacer ahora una pausa para reflexionar un poco sobre los archivos .exe

Prácticamente cualquier aplicación capaz de generar archivos .exe , como por ejemplo un compilador como Microsoft Visual Studio o un creador de instaladores como InnoSetup, es capaz de incluir código malicioso en estos archivos y esto no representa un fallo de seguridad en la aplicación. Entre ellos, WinRAR también permite incluir archivos .exe dentro de archivos SFX y hacer que estos se ejecuten al igual que es posible hacerlo con archivos SFX de WinZIP. Evidentemente también se puede usar esta funcionalidad para crear archivos maliciosos.

En definitiva, cualquier archivo .exe, generado o no por WinRAR, puede incluir código malicioso y es una amenaza potencial para cualquier usuario.

Esto en si mismo no es ninguna noticia, es así desde que existen los ficheros .exe y no añade ningún riesgo nuevo a los ficheros .exe. También es evidente que no es necesario tener la aplicación que creó el archivo .exe instalada para evitar ser infectado por archivos .exe maliciosos.

Ahora continuamos el rastro de la noticia hasta llegar a la noticia original en seclists.org, en la que se incluye la prueba de verificación de dicha vulnerabilidad (el código Perl tiene un error de transcripción y hace falta cambiar las dos ocurrencias de ' por el carácter ' para que compile).

Basta con ejecutar la mencionada prueba de verificación en un sitema actualizado para ver que no funciona y que no es posible usar este método para ejecutar código remoto usando archivos SFX creados por WinRAR en estos sistemas.

Si decodificamos el código HTML de la prueba podremos ver como intenta funcionar. Básicamente hace que el módulo SFX muestre el contenido de una página web al usuario cuando este ejecuta este archivo.

Hasta aquí no hay ningún fallo de seguridad en WinRAR, ¿ donde esta el fallo entonces ? WinRAR usa el motor de Internet Explorer para mostrar esta página web al usuario y el problema es que esta página web incluye un código en Visual Basic Script que descarga y ejecuta otro archivo .exe. Esto no debería ser posible y tal como hemos indicado solo hace falta probarlo para ver que no funciona. Si lo hacemos veremos que no pasa nada y que el antivirus de Microsoft nos indica que ha bloqueado una amenaza llamada Exploit:VBS/CVE-2014-6332.gen.

Efectivamente, el código VBScript incluido en la prueba es una copia practicamente exacta del código publicado como demostración del fallo de seguridad de Windows CVE-2014-6332 (solo han añadido las descarga de la aplicación) descubierto en enero de 2013, detectado por el antivirus de Microsoft desde noviembre de 2014 y arreglado el mismo mes en el parche MS14-064 (Este parche no está disponible para Windows XP pero si las actualizaciones del antivirus que impiden aprovechar este fallo).

Este es uno de los motivos por los que es necesario descargar el código VBScript de un servidor remoto (con el truco del META tag Refresh), ya que en un sistema actualizado el antivirus no nos dejará crear el archivo SFX si intentamos introducir directamente el código VBScript malicioso a través de WinRAR.

Esto significa que los usuarios que son vulnerables a este problema (todos los usuarios que no hayan instalado actualizaciones de Windows ni hayan actualizado su antivirus desde noviembre de 2014) también pueden ser infectados si usan Internet Explorer para visitar cualquier página web que contenga este código malicioso o si usan cualquier aplicación que use el motor de Internet Explorer.

En resumen:

  1. Este fallo no afecta a archivos .rar, solo a archivos .exe.
  2. No es un fallo en WinRAR y no se arregla dejando de usar WinRAR.
  3. Es un fallo en Windows que ya fue arreglado en noviembre de 2014 y la única solución es aplicar los parches de Microsoft o tener un antivirus actualizado.

Finalmente, es bastante lamentable que alguien pueda atribuir a WinRAR un fallo de seguridad que es en realidad una vulnerabilidad de Windows que ya fue descubierta y arreglada hace casi un año. De hecho es bastante sospechoso porque la prueba de dicha vulnerabilidad usa el código malicioso de esta vulnerabilidad ya conocida de Windows y pretende atribuirla a WinRAR.

Es mas lamentable todavía que organizaciones como seclist publiquen una vulnerabilidad cuya prueba de verificación no funciona en sistemas actualizados, pero también es lamentable que organizaciones como el INCIBE publiquen una noticia sin al menos contrastarla con el autor de WinRAR o con nosotros, en la que instan a dejar de usar WinRAR para evitar este problema cuando esto no es cierto y que esta noticia pueda llegar a periódicos on-line de prestigio sin que nadie con un mínimo conocimiento del tema se de cuenta de los fallos que tiene.

2/10/2015 En OSI/INCIBE han corregido la noticia que aparece en su web sin hace mención al error inicial y sin constestar nuestros mensajes. No estaria mal una aclñaración oficial sobre todo esto.

Pero hay todavía cientos de webs que se limitaron a copiar la noticia que todavía publican informaciones incorrectas sobre este tema. Si quieres que se sepa la verdad y tienes una página web que copió esta noticia, por favor, corrigela y añade un enlace a esta página.

Ya está disponible la versión 5.21 final de WinRAR

22 De Febrero De 2015

Ya está disponible la versión 5.21 final de WinRAR (incluyendo Windows x64) en inglés, castellano, catalán y gallego asi como RAR para Linux (32 y 64 bits), Mac OS X y FreeBSD en inglés.

Esta actualización es gratuita para todos los usuarios registrados. Para actualizar WinRAR solo tiene que instalar esta versión de prueba sin desinstalar la versión anterior y WinRAR reconocerá automaticamente su licencia.

Descargar RAR o WinRAR

Novedades en esta versión

  1. Las opciones en "Menú contexctual arrastrar y soltar" en la ventana "Configuración/Integración/Elementos del menú contextual" permite desactivar las órdenes de compresión y extracción de WinRAR en el menú contextual que se muestra después de arrastrar y soltar ficheros con el botón derecho del ratón.
  2. Si el fichero winrar.ini está presente en la misma carpeta que el instalador de WinRAR, este fichero será copiado a la carpeta del programa WinRAR después de completar la instalación.
  3. Las versiones anteriores podían producir a veces volumenes RAR5 ligeramente mas pequeños que el tamaño solicitado, esta situación es ahora mas improbable. En la mayoría de casos el tamaño del volumen final es el solicitado por el usuario.
  4. Ahora WinRAR omite por defecto los enlaces simbólicos con rutas absolutas en el destino del enlace al extraer. Puede activar la creación de este tipo de enlaces con la opción "Permitir rutas absolutas en enlaces simbólicos" de la pestaña "Avanzado" en las opciones de extracción o con el modificador de la línea de órdenes -ola.

    Este tipo de enlaces que apuntan fuera de la carpeta de destino de la extracción pueden presentar riesgos de seguridad. Active su uso solo cuando este seguro que el contenido del archivo es seguro, como por ejemplo en sus propias copias de seguridad.
  5. Fallos arreglados:
    1. WinRAR 5.20 emitia solicitudes de control de usuario (UAC) innecesarias al ejecutar una aplicación contenida en un archivo almacenado en una carpeta protegida por UAC. Como en este caso no se extraía nada en dicha carpeta la solicitud UAC no es necesaria;
    2. WinRAR podía sobreescribir ficheros con el atributo de solo lectura al descomprimir de archivos RAR y ZIP. Ahora también está implementado para los otros tipos de formato de archivo soportados por WinRAR;
    3. "Tiempo transcurrido" y "Tiempo restante" se mostraban de forma incorrecta al aplicar la orden "Convertir" a múltiples archivos con la opción "Añadir registro de recuperación" activada.

Ya está disponible la versión 5.20 final de WinRAR

16 De Diciembre De 2014

Ya está disponible la versión 5.20 final de WinRAR (incluyendo Windows x64) en inglés, castellano, catalán y gallego asi como RAR para Linux (32 y 64 bits), Mac OS X y FreeBSD en inglés.

Esta actualización es gratuita para todos los usuarios registrados. Para actualizar WinRAR solo tiene que instalar esta versión de prueba sin desinstalar la versión anterior y WinRAR reconocerá automaticamente su licencia.

Descargar RAR o WinRAR

Novedades en esta versión

  1. Si el Control de Cuentas de Usuario de Windows impide que las ordenes de extracción o compresión creen ficheros en carpetas protegidas del sistema, WinRAR intenta iniciar otra instancia con privilegios de administrador para poder completar la operación. Es necesario confirmar la elevación de privilegios en respuesta a la petición del Control de Cuentas de Usuario de Windows para permitir que esta segunda copia de WinRAR se ejecute.
  2. Puede arrastrar ficheros desde el Explorador con el botón derecho del ratón, soltarlos en alguna carpeta y seleccionar las ordenes de compresión de WinRAR del menú contextual para crear un archivo con esos ficheros en la carpeta de destino.
  3. Es posible usar el fichero WinRAR.ini en vez del Registro para almacenar la configuración de WinRAR. Puede preferir este método si decide instalar WinRAR en un medio removible, como por ejemplo un lápiz USB, para luego ejecutarlo en diferentes ordenadores. Vea el tema "Fichero WinRAR.ini" en el capítulo "Valores de la Configuración" de la ayuda de WinRAR para mas detalles.
  4. Añadido soporte para la extracción de archivos ZIP y ZIPX usando el algoritmo de compresión XZ.
  5. Si un archivo ZIP o ZIPX contiene algún algoritmo de compresión excepto los usuales "Almacenar" o "Deflate", el nombre del algoritmo se muestra en el campo "Versión para extraer" en la ventana de información del archivo. Los algoritmos con nombres desconocidos para WinRAR se mostrarán como "m<num>", donde "num" es el identificador numérico del algoritmo de compresión.
  6. La orden "Abrir con WinRAR" está disponible en los menús contextuales de Windows para los formatos de archivo soportados por WinRAR. Es posible desactivarla con la opción "Abrir con WinRAR (para archivos usuales)" de la ventana "Opciones/Integración/Elementos del menú contextual...".
  7. La versión de línea de ordenes RAR puede leer los modificadores predeterminados del fichero rar.ini en la carpeta donde está RAR. Anteriormente solo era posible definir un único juego de modificadores para todas las órdenes RAR con la cadena "switches=<modificadores>". Ahora rar.ini también permite especificar juegos de modificadores específicos para órdenes RAR individuales usando la siguiente sintaxis:

    switches_<orden>=<cualquier modificador RAR, separado por espacios>

    Por ejemplo:

    switches_a=-m5 -s switches_x=-o+

  8. La orden "ch" soporta los modificadores -tl, -cu, -cl también para archivos ZIP. Anteriormente, "ch" solo permitía estos modificadores para el formato RAR.
  9. Para aquellos formatos que no disponen de información sobre la fecha de los ficheros, como por ejemplo .bz2, .xz y .z, WinRAR propaga la fecha de modificación del archivo a los ficheros extraídos. Esto no se aplica a tar.bz2, tar.xz y tar.Z, ya que en este caso se usa la fecha almacenada en las cabeceras tar.
  10. La opción de extracción "Mantener ficheros dañados" está también soportada para archivos bzip2.
  11. El icono de WinRAR en los menús contextuales de Windows está escalado correctamente en modos de pantalla con DPIs altos, como por ejemplo con tamaños de texto del 150% o 200% superiores al normal.
  12. Es posible desactivar la herramienta "Pruebas de velocidad" con la variable "Benchmark" en la calve del Registro HKEY_CURRENT_USER\Software\ WinRAR\Policy. En entornos multi-usuario esta herramienta puede abusar de los recursos de computación compartidos. Vea el tema "Variables del Registro" en el capítulo "Valores de la configuración" de la ayuda de WinRAR para más información.
  13. Además de la variable "sfxcmd" que contiene la línea de ordenes completa, el módulo SFX también establece la variable "sfxpar" con solo los parámetros de la línea de órdenes sin el nombre del módulo SFX. Estas variables se establecen antes de iniciar el programa especificado en la orden "Setup".
  14. La confirmación de sobreescritura en RAR para consola muestra el tamaño y la fecha de modificación de los ficheros nuevos y de los existentes.
  15. Al comprimir desde stdin con el modificador -si, RAR establece como fecha de modificación del fichero comprimido la fecha actual del sistema. Las versiones anteriores no establecían nunca esta fecha.
  16. Ahora es posible usar los modificadores -si y -v<tamaño> juntos. Las versiones anteriores no permitían crear volúmenes al comprimir desde stdin.
  17. Se muestra una advertencia al descomprimir ficheros de 4 GB o mayores desde archivos RAR o ZIP en particiones FAT32 de forma que el usuario pueda cancelar la operación. FAT32 no soporta ficheros de estos tamaños.

    También se muestra una advertencia cuando se crea un archivo RAR con el método "Almacenar" (-m0) y el tamaño final estimado del archivo es de 4 GB o mayor.

  18. El botón "Todos" en la venta "Opciones/Integración" se ha renombrado a "Cambiar todos". Ahora deselecciona los formatos de archivo que están ya seleccionados.
  19. La opción de extracción "Eliminar archivo" elimina correctamente todos los volúmenes .zip y .7z. Anteriormente solo eliminaba el primer volumen del conjunto para estos formatos de archivo.

Ya está disponible la versión 5.11 final de WinRAR

1 De Septiembre De 2014

Ya está disponible la versión 5.11 final de WinRAR (incluyendo Windows x64) en inglés, castellano, catalán y gallego asi como RAR para Linux (32 y 64 bits), Mac OS X y FreeBSD en inglés.

Esta actualización es gratuita para todos los usuarios registrados. Para actualizar su WinRAR solo tiene que instalar esta versión de prueba sin desinstalar la versión anterior y WinRAR reconocerá automaticamente su licencia.

Descargar RAR o WinRAR

Novedades en esta versión

  1. WinRAR puede descomprimir archivos TAR que contienen carpetas con cabeceras extendidas pax. Las versiones anteriores no podian hacerlo.
  2. La opción "Conservar ficheros dañados" funciona también para archivos 7-Zip.
  3. Fallos arreglados:
    1. WinRAR 5.10 no establecía el atributo de fichero "oculto", "solo lectura" y "sistema" al descomprimir archivos ZIP;
    2. WinRAR 5.10 no podía actualizar correctamente archivos auto extraíbles RAR con ficheros ZIP anidados almacenados sin compresión;
    3. Los archivos ZIP creados con la opción "No almacenar rutas" incluian registros innecesarios con nombres vacíos para las carpetas;
    4. los ficheros comprimidos podía tener un error de una hjora en la fecha de modificación en Windows XP;
    5. eliminar un fichero en archivos sólidos RAR5 que contengan ficheros almacenados con el modificador -ver hacía que esots ficheros perdieran la información de la versión;
    6. se muestran rectangulos negros en vez de los botones de la barra de herramientas en modos de pantalla en color de 16 y 24 bits con tamaños de fuente de Windows superiores al 100%.

Ya está disponible la versión 5.10 final de WinRAR

12 De Junio De 2014

Ya está disponible la versión 5.10 final de WinRAR (incluyendo Windows x64) en inglés, castellano, catalán y gallego asi como RAR para Linux (32 y 64 bits), Mac OS X y FreeBSD en inglés.

Esta actualización es gratuita para todos los usuarios registrados. Para actualizar su WinRAR solo tiene que instalar esta versión de prueba sin desinstalar la versión anterior y WinRAR reconocerá automaticamente su licencia.

Descargar RAR o WinRAR

Novedades en esta versión

  1. Añadido soporte para descompresión de archivos ZIP y ZIPX con compresión BZIP2, LZMA y PPMd y archivos 7z partidos (.7z.001, .7z.002, ...).
  2. Añadido soporte para instrucciones de procesador AES-NI (Intel® Advanced Encryption Standard Instructions) permitiendo mejorar la velocidad de cifrado y descifrado RAR en aquellos procesadores Intel que soporten esta característica (Xeon 56xx, Xeon E3, Xeon E7, , Core i5, Core i7, ...). Al implementar algunos sub-pasos intensivos del algoritmo AES en el hardware, Intel® AES-NI fortalece y acelera el proceso de archivos cifrados.
  3. Las imagenes del tema predeterminado escalan con mejor calidad en modos de pantalla de alta resolución.
  4. Las variables de entorno como %temp% pueden usarse en el campo "Ficheros a añadir" en la ventana de compresión.
  5. El modificador -ai puede usarse al crear archivos RAR de forma que se almacenan valores predeterminados típicos para ficheros y carpetas en vez de los atributos actuales. Anteriormente este modificador solo podía usarse al extraer.