Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

WinRAR supprime la prise en charge du format ACE pour boucher une faille vieille de 19 ans

WinRAR supprime la prise en charge du format ACE pour boucher une faille vieille de 19 ans

Le 22 février 2019 à 09h26

La découverte a été faite par l'équipe de sécurité de Check Point Research, qui a publié un (très) long billet de blog détaillant son fonctionnement.

Selon les chercheurs, elle permet de « prendre le contrôle total de l'ordinateur de la victime ». À cause d'une vulnérabilité dans la bibliothèque UNACEV2.DLL, il est possible de « créer des fichiers dans des dossiers arbitraires, à l'intérieur ou non du dossier de destination, lors de la décompression des archives ACE », explique WinRAR.

Problème, UNACEV2.DLL n'est plus mis à jour depuis 2005 et la société n'a pas accès au code source. « Nous avons donc décidé de supprimer la prise en charge du format ACE pour protéger la sécurité des utilisateurs de WinRAR », indiquent les notes de version de la 5.70 bêta.

Le 22 février 2019 à 09h26

Commentaires (40)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

“Le correctif sera livré aux utilisateurs ayant payé la licence WinRAR” <img data-src=" />

Je plaisante mais avouez que vous avez eu peur <img data-src=" />

votre avatar







Obidoub a écrit :



“Le correctif sera livré aux utilisateurs ayant payé la licence WinRAR” <img data-src=" />

Je plaisante mais avouez que vous avez eu peur <img data-src=" />





M’en fous, j’ai payé <img data-src=" />


votre avatar

Ah ben je comprends comment ils ont pu financer cette mise à jour ! <img data-src=" />

votre avatar

Quels peuvent être les arguments pour un usage de WinRAR (ou autre payant) face à 7z ?

votre avatar

Arf WinACE, le truc qui rajeunit pas <img data-src=" />

votre avatar

J’utilise 7zip, toi aussi, les gens qui nous détestent pourraient vouloir ne pas faire comme nous…



Sérieux, je ne sais pas, 7zip, c’est assez merveilleux,l’outil en ligne de commande sous linux est pas mal et l’interface sous windows aussi. La config par défaut en 7z compresse super fort, et ça me permet de passer des fichiers plus petits entre mon pc et les serveurs, je ne sais pas quoi demander de plus.

votre avatar

19 ans ! Quelle réactivité !

&nbsp;

votre avatar

Le pire, c’est que j’ai un collègue au boulot (en boîte d’info hein en plus) qui a acheté une licence WinRAR il y a quelques années…&nbsp;<img data-src=" />



Sinon vieux motard qui ramait ! Ou un truc comme ça je crois…

votre avatar

cela fait bien longtemps que je n’ai pas vu une archive en “.ace” : début des années 2000 peut être ?

votre avatar

la patience pour récupérer les 99 fichiers pour se rendre compte que le .exe ne les rassemblait pas correctement et que tu ne verras pas ton film de vacances tout de suite… :‘)

votre avatar

<img data-src=" /><img data-src=" />

votre avatar







Dude76 a écrit :



Quels peuvent être les arguments pour un usage de WinRAR (ou autre payant) face à 7z ?





J’utilise les deux. Dans certains cas, je préfère WinRAR qui permet de :




  • loger l’application dans le systray.

  • lancer plusieurs décompressions en même temps, mais les traiter séquentiellement. Ça évite de mettre à genou le disque et le réseau après avoir lancé 10 décompressions.


votre avatar







jb18v a écrit :



Arf WinACE, le truc qui rajeunit pas <img data-src=" />





tu m’étonnes … <img data-src=" />


votre avatar

J’étais en train de me demander si la compagnie existait encore, ça doit être le logiciel payant le moins vendu sur un espace de temps aussi long.&nbsp;&nbsp;<img data-src=" />

votre avatar

Point de vu utilisateur/client un “warning” n’aurait-il pas été plus salutaire que de s’asseoir sur des données potentiellement importantes&nbsp;? <img data-src=" />



Apprends moi a ne pas m’en servir j’apprendrai comment m’en passer.

votre avatar

y’avait pas aussi un truc “ultra HARC” qui s’exécutait en ligne de commande ? c’était assez efficace et combiné à du ACE justement.. mais ça remonte à mes début sur le net dans les années 9798 <img data-src=" />

votre avatar







jb18v a écrit :



y’avait pas aussi un truc “ultra HARC” qui s’exécutait en ligne de commande ? c’était assez efficace et combiné à du ACE justement.. mais ça remonte à mes début sur le net dans les années 9798 <img data-src=" />





ça me rappelle vaguement quelque chose

(encore une mega baffe mémorielle dans la tronche <img data-src=" /> )


votre avatar







Dude76 a écrit :



Quels peuvent être les arguments pour un usage de WinRAR (ou autre payant) face à 7z ?





7Z permet de décompresser les fichiers RAR, pas de les compresser. Et encore, je ne sais pas si 7z prends en charge le génération 5 du format RAR.

Pour ma part, avec tous les usages divers que j’en ai au quotidien, le taux de compression des archives RAR est systématiquement meilleur que tous les autres (y compris avec le lzma de 7z).

Donc dans mon usage je privilégie WinRAR, même s’il est proprio et payant, on a des licences au boulot car il compresse bigrement mieux que toutes les alternatives que je connait.


votre avatar

Ha, bizarre; j’étais persuadé du contraire.

Je jetterai un œil alors.

votre avatar

N’empêche, il reste une question importante : que faire de mon stock de fichiers arj…?

<img data-src=" />

votre avatar

Vu qu’on est dredi, j’ai bien une réponse à te soumettre … <img data-src=" />

votre avatar

Pas au courant que ça existe, le plus souvent

votre avatar







Dude76 a écrit :



Quels peuvent être les arguments pour un usage de WinRAR (ou autre payant) face à 7z ?





Il faut des arguments au delà de la préférence personnelle ?

&nbsp;


votre avatar

Ca dépend fortement du type de fichier à compresser.



Un patch avec des jars se compresse mieux (chez moi) en 7z qu’en rar.

Pour un fichier multimédia, c’est inverse.



Va comprendre …

votre avatar

<img data-src=" />

votre avatar

Perso j’utilise les deux mais j’ai une préférence purement historique pour winrar (je dois m’en servir depuis la version 1). Vu que c’est un soft que j’utilise énormément, je trouve ça normal de rémunérer les devs pour leur boulot (bon, je suis moi même dev donc ça change ptet mon pt de vue). J’ai aussi d’autres licences pour des sharewares, quand j’utilise un truc de manière régulière, je le paye. J’ai aussi de vraies licences payées pour des tas de softs pro (au lieu de versions crackées de merde)

votre avatar

Je ne te jetterai pas la pierre si tu préfères WinRar, ça n’a rien d’illégitime d’avoir une préférence personnelle, mais quand tu cherches à comparer, formuler/argumenter le pourquoi de ta préférence, c’est mieux ^_^

Perso, ça fait des années que je suis passé à 7z : il est gratuit, supporte tous les formats que j’ai pu rencontrer, et j’ai pu l’intégrer dans des softs via des librairies/wrapper.

Ce dernier point a pu être important à un moment pour moi, c’est pas dit que ça intéresse/concerne grand monde (d’autant que j’ai aussi utilisé les librairies intégrées de .Net pour faire des choses analogues).

votre avatar







Bourrique a écrit :



Ca dépend fortement du type de fichier à compresser.



Un patch avec des jars se compresse mieux (chez moi) en 7z qu’en rar.

Pour un fichier multimédia, c’est inverse.



Va comprendre …





Les .jpg ou .png sont des fichiers images déjà comprimés.

Les .mp3, .ogg ou .flac sont des fichiers audios déjà comprimés.

Les .mp4 ou .mkv sont des fichiers vidéos déjà comprimés.

Comprimer en .7z ou .rar des fichiers multimédias déjà comprimés, ce n’est pas ce qui est recherché par les algorithmes de compression.


votre avatar

Il me semble qu’à un moment NextPCInpact donnait des licences Winrar non?



Je dois avoir ça qui traîne quelque part sur un de mes disques durs <img data-src=" />



Edit :

nextinpact.com Next INpact

votre avatar







Bourrique a écrit :



Ca dépend fortement du type de fichier à compresser.



Un patch avec des jars se compresse mieux (chez moi) en 7z qu’en rar.

Pour un fichier multimédia, c’est inverse.



Va comprendre …



tu devrais mieux te renseigner, je n’ai aucune jarre chez moi <img data-src=" />


votre avatar







Dude76 a écrit :



Je ne te jetterai pas la pierre si tu préfères WinRar, ça n’a rien d’illégitime d’avoir une préférence personnelle, mais quand tu cherches à comparer, formuler/argumenter le pourquoi de ta préférence, c’est mieux ^_^

Perso, ça fait des années que je suis passé à 7z : il est gratuit, supporte tous les formats que j’ai pu rencontrer, et j’ai pu l’intégrer dans des softs via des librairies/wrapper.

Ce dernier point a pu être important à un moment pour moi, c’est pas dit que ça intéresse/concerne grand monde (d’autant que j’ai aussi utilisé les librairies intégrées de .Net pour faire des choses analogues).





Mais j’utilise les deux hein. L’argument gratuit je m’en cogne un peu vu que WinRAR est “gratuit” aussi (quasiment totalement utilisable sans payer). Niveau menchmark ils se valent, niveau compression aussi, niveau options 7Z est un peu plus spartiate, donc c’est juste du pareil au même.

Du coup il ne reste comme vrai argument que le goût personnel ;-)

&nbsp;

Le meilleur format c’était UC2 :p


votre avatar

Le meilleur algo de compression que je connaisse est celui de FitGirl. Pour ceux qui connaissent, oui, je parle de cracks de jeux.



Sinon, perso, sous Windows 7-zip, sous Linux tar+xz,bzip2,gz… j’utilise généralement du .tar.xz, parfois du .tar.gz voire du tar sans compression, selon si je cherche la vitesse ou la place…

votre avatar

Je parle juste pour WinRAR la dernière version de leur format est régulièrement un poil plus efficace en mode “compression maxi” et un peu plus rapide en mode “normal”.

Cela dit à moins de compresser des To de données à longueur de journée les gains sont assez marginaux autant en taille qu’en temps



Sinon effectivement entendre parler d’archive .ace ça rajeuni pas <img data-src=" /> (et pire encore pour le .uha dont parle jb18v <img data-src=" /> )

Après, tous ces formats “exotiques” sont sorti à l’époque pour tenter de détrôner le roi PKZip qui certes allait vite mais compressait mes burnes sauf que sur les bécanes de l’époque s’ils étaient incomparablement plus efficaces la plupart étaient tellement lents qu’ils étaient presque inutilisables en pratique

votre avatar

Je connais le nom mais je doute qu’elle/il ai réellement inventé un nouveau format de compression, je pencherais plutôt pour une optimisation maxi en utilisant le format idéal pour chaque type de fichier (je salut quand même le taff, ça doit prendre des plombes à tester)

votre avatar

Je pense effectivement qu’elle est partie sur une base existante, mais je serais pas si étonné qu’il y a ait ensuite des modifications plus poussées que ça, vu comment elle en parle dans certains articles qu’on retrouve sur son site. Après, c’est un système spécifique : le but est de compresser au maximum (la quantité de données LE point principal, puisque le but est de fournir des repacks « légers » pour ceux qui ont des connexions pourries), et de décompresser pas trop lentement.



La dernière fois, elle indiquait qu’un de ses repacks se décompressant en quelques heures sur un bon matos avait pris des jours à être compressé.

votre avatar







Bourrique a écrit :



Vu qu’on est dredi, j’ai bien une réponse à te soumettre … <img data-src=" />







Dans son ACE ?



-&gt; []


votre avatar

Ah ACE… A l’époque j’avais switché quasiment tout ce que j’avais en ZIP dans ce format pour gratter de la place sur mon disque dur IBM de 40 Go (qui tombait constamment en panne).



Oui c’était une belle bêtise. Le format était peut-être correct, mais le logiciel officiel WinACE plantait constamment <img data-src=" /> et on ne rivalise pas avec un Winrar à licence shareware éternelle <img data-src=" /> Enfin au moins les fichiers ne souffraient pas de ces crashs… le site internet a disparu l’année dernière, bien qu’il n’avait jamais changé depuis 15 ans <img data-src=" />



J’ai découvert 7-Zip vers l’été 2003, pas mal de mois avant qu’il ne commence à être connu et j’ai tout reconvertit dessus. La tranquillité depuis. A noter que la version 19.00 est sorti hier.

votre avatar







Dude76 a écrit :



Quels peuvent être les arguments pour un usage de WinRAR (ou autre payant) face à 7z ?







Chais pas, j’en suis resté au tar -zc/xvf ou gzip.


votre avatar

Je confirme que cet algo m’intrigue pas mal depuis que j’ai vu le taux de compression. Je ne sais plus quel jeu j’avais téléchargé, environ 15 Go de DL, pour un dossier décompressé de 60 ou 65 Go… Après 1h30 de décompression (sur un bon CPU) ! J’avais fais l’opération inverse en RAR5, en ZIP, en 7z-lzma et en 7z-bzip2, tout en ultra compression, j’étais pas arrivé en dessous des 50% (donc 30 à 35 Go). Sachant que le poids des jeux sont surtout dans les textures et l’audio, et que ce sont déjà des formats multimédia compressés, ça laisse rêveur.

votre avatar

Me suis planté, apparemment elle utilise un truc existant d’après sa FAQ :



Q: How do you compress games? With what tools?



A: I use mostly FreeArc for compression and Inno Setup as an

installer. Some games require other compressors, but in 99.9% of cases

it’s FreeArc.



Ça me surprends un peu, surtout qu’elle avait indiqué faire des essais sur des nouvelles méthodes… et comme toujours selon elle la compression est sa passion, ça me surprends d’autant plus qu’elle n’utilise que des trucs existants.

WinRAR supprime la prise en charge du format ACE pour boucher une faille vieille de 19 ans

Fermer