Комментарии 59
разработчики полностью отказались от поддержки формата ACE.
Где-то грустно вздохнули те, кто надцать лет назад запаковал свои драгоценные файлы в архивы этого формата. Когда они полезут их открывать, их ждёт сюрприз.
Стоит заметить, что на многих ресурсах упоминается возможность переименовать .ace в .rar и непатченный WinRAR такой архив откроет,
Проверил ради интереса, winrar ругается на формат архива при таком переименовании, но всё-таки сам архив открывает, да.
Так что или ставить бету WinRAR или удалять WinRAR
Или просто вручную снести из своей версии винарара UNACEV2.DLL. В таком случае он ACE-архивы всё ещё открывает и содержимое показывает, но ничего распаковать уже будет не в состоянии.
Кстати, srp и applocker не спасают от программ на java, .net core, python, js, ruby, а также, возможно, от rust и go если ставить их в исходниках (разумеется, только если эти штуки уже установлены на компьютере).
А исполняемый файл распаковывать и не обязательно. Можно подменить какой-нибудь важный конфиг.
Какой? Системные конфиги, например, перезаписать прав не хватит.
Кстати, srp и applocker не спасают от программ на java, .net core, python, js, ruby
Насчет js — ложь. java тоже можно добавить в список. С остальным дел не имел.
Каких таких расширений? Объясните, какое такое "расширение" srp позволит сделать так, чтобы команда java -jar c:\trusted\foo.jar
работала, а команда java -jar c:\untrusted\bar.jar
— нет?
Дополнительное условие: команда java -jar c:\trusted\baz.jar c:\untrusted\data.txt
тоже должна работать.
Каких таких расширений?
файловых.
чтобы команда java -jar c:\trusted\foo.jar работала, а команда java -jar c:\untrusted\bar.jar — нет?
Дополнительное условие: команда java -jar c:\trusted\baz.jar c:\untrusted\data.txt тоже должна работать.
В статье пишут про помещение в автозагрузку — от этого srp спасает(не запускается и пишет в лог). Как вы собрались помещением файла в каталог вызвать выше написанный код(java -jar /****/)?
Если бы дырень была, в том, что код выполнялся в самом WinRAR, то тут ничего из мною перечисленного бы не помогло.
P.S. если кто-то использует srp, отбирайте права у пользователей на выполнение mshta.
И как это поможет? Напомню, ярлык на java.exe
с параметрами -jar c:\trusted\baz.jar
в автозагрузке должен работать, это важное корпоративное приложение!
Вы не объяснили как будете отделять java -jar c:\trusted\foo.jar
от java -jar c:\untrusted\bar.jar
. Хеш или сертификат чего именно вы собрались определять?
И почему вашему корпоративному приложению надо авто загружаться ярлыком?
Потому что производитель по-другому не умеет.
Вы не объяснили как будете отделять java -jar c:\trusted\foo.jar от java -jar c:\untrusted\bar.jar
Вы это собрались в ярлыке прописывать или где?
В ярлыке. А вы что, собрались считать хеш у ярлыка? Нет, это не сработает: ярлык у корпоративного приложения генерируется при установке и каждом обновлении, замаетесь каждый раз новый хеш подсчитывать.
Самим прописать автозагрузку через реестр, добавить в белый список ваш .jar по хешу или сертификату.
у нас java-по так и работает, потому что сохраняет в свой каталог и поэтому сидит не в prg files, а в appdata у пользователя.
если нет в белом списке, то никак. Понятно, что не в случае запуска через, например, конструкции «java -jar …». Но эту строку надо еще через что-то запустить, а в статье просто помещение файла в автозагрузку.
(Причём владелец сайта может быть и не в курсе о происходящем, а сайт вполне себе безобидный)
Лично я ужаснулся и пошлёт сканировать систему.
Ps А Вы сами пользуетесь указанными программами?
Pss. Хуже всего, что вин пар не распространяет апдейты на архиватор, т.е. в безопастности только те, кто сам зайдёт на их сайт и скачать новую версию. А архиватор, это то, что поставил и забыл.
Вспомните, когда последний раз сами распаковывали какой нибудь архив (просто посмотреть, не пытаясь что то из него запустить), скачанный с любого сайта и представьте, что он мог незаметно поместить что то в автозагрузку.
Ну поместит. Дальше то что?
А Вы сами пользуетесь указанными программами?
WinRAR-ом? нет. Или вы про srp с applocker-ом? srp активно пользуюсь.
я просто не понимаю паники: если бы, например, сам WinRAR начинал выполнять произвольный код, то да — дырень.
Хуже всего, что вин пар не распространяет апдейты на архиватор, т.е. в безопастности только те, кто сам зайдёт на их сайт и скачать новую версию. А архиватор, это то, что поставил и забыл.
То что, нет апдейтов, это очень плохо, согласен.
apt-cache policy unrar
unrar:
Installed: 1:5.6.6-1
Candidate: 1:5.6.6-1
Version table:
*** 1:5.6.6-1 500
500 http://archive.ubuntu.com/ubuntu disco/multiverse amd64 Packages
100 /var/lib/dpkg/status
(ещё раз о пользе дистрибутивов по сравнению с "скачал исполняемый файл, установил и забыл").
Правда вынужден признаться, что в лихие бандитские времена (в конце 90-х начале 2000-х) я часто снимал защиту с винрара, винзипа, винампа, и т.д. Снимал ASProtect и прочие защиты. Чисто для себя, в качестве тренировки, никогда это не распространял. Сейчас эти умения периодически пригождаются в моей работе.
Остаётся понять, зачем сегодня нужен WinRar, если есть простой, удобный, бесплатный и свободный 7z? Который и жмёт к тому же (немного, конечно, но всё же) чуть лучше.
В остальном действительно не понятно зачем он нужен. Тем более если еще быть честным и покупать его — он стоит $29 + НДС. Очень нарядно скажу я вам.
Однозначно можно. Я уже давно все манипуляции с архивами провожу из Far'а и до билда 1722 эти манипуляции проводились через встроенный в него плагин Multiarc, а он как раз и работал через 7z посредством передачи ему команд через командную строку (в новых Far'ах работа с архивами ведётся «напрямую» (плагин arclite) через библиотеку 7z.dll
, так что надобность в отдельном exe
'шнике отпала).
Так вот, в случае 7-zip открывается просмотрщик картинок windows, но фотка в нём не открывается. Чтобы посмотреть, нужно сначала перетащить фотку из архива в какую-нибудь папку и оттуда уже руками открыть. Это напрягает.
А если открыть архив в WinRar, то по двойному клику картинки нормально открываются.
Сталкивался с этим на Win7 и Win10.
И ещё у 7-zip бывает корявая работа с большими и нестандартно упакованными архивами. Например, у меня личные фотки и документы запакованы в большие многогигабайтные rar-архивы, solid-типа, под паролем, с добавленной инфой для восстановления и прочим.
WinRar, в котором они создавались, открывает без проблем (ну, немного потупит, читая десятки тысяч файлов в большом архиве). А вот 7-zip может не справиться. Или вылетит, или зависнет, или ещё что-то.
Отличный пример того, почему статьи следует читать в оригинале.
Здесь — концентрированная выжимка желтизны (19 лет!, пиццот мильёнов жертв!, мы все умрём!!11!)
В оригинале (https://research.checkpoint.com/extracting-code-execution-from-winrar/) — довольно подробное описание того, как эта уязвимость была найдена.
Незакрытая в течение 19 лет уязвимость WinRar позволяет разместить распакованный файл в произвольном месте