WinRAR supprime la prise en charge du format ACE pour boucher une faille vieille de 19 ans
Le 22 février 2019 à 09h26
1 min
Logiciel
La découverte a été faite par l'équipe de sécurité de Check Point Research, qui a publié un (très) long billet de blog détaillant son fonctionnement.
Selon les chercheurs, elle permet de « prendre le contrôle total de l'ordinateur de la victime ». À cause d'une vulnérabilité dans la bibliothèque UNACEV2.DLL, il est possible de « créer des fichiers dans des dossiers arbitraires, à l'intérieur ou non du dossier de destination, lors de la décompression des archives ACE », explique WinRAR.
Problème, UNACEV2.DLL n'est plus mis à jour depuis 2005 et la société n'a pas accès au code source. « Nous avons donc décidé de supprimer la prise en charge du format ACE pour protéger la sécurité des utilisateurs de WinRAR », indiquent les notes de version de la 5.70 bêta.
- Une vidéo de démonstration a été mise en ligne.
Le 22 février 2019 à 09h26
Commentaires (40)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 22/02/2019 à 09h30
#1
“Le correctif sera livré aux utilisateurs ayant payé la licence WinRAR”
" />
" />
Je plaisante mais avouez que vous avez eu peur
Le 22/02/2019 à 09h33
#2
Le 22/02/2019 à 09h37
#3
Ah ben je comprends comment ils ont pu financer cette mise à jour !
" />
Le 22/02/2019 à 09h55
#4
Quels peuvent être les arguments pour un usage de WinRAR (ou autre payant) face à 7z ?
Le 22/02/2019 à 10h00
#5
Arf WinACE, le truc qui rajeunit pas
" />
Le 22/02/2019 à 10h03
#6
J’utilise 7zip, toi aussi, les gens qui nous détestent pourraient vouloir ne pas faire comme nous…
Sérieux, je ne sais pas, 7zip, c’est assez merveilleux,l’outil en ligne de commande sous linux est pas mal et l’interface sous windows aussi. La config par défaut en 7z compresse super fort, et ça me permet de passer des fichiers plus petits entre mon pc et les serveurs, je ne sais pas quoi demander de plus.
Le 22/02/2019 à 10h05
#7
19 ans ! Quelle réactivité !
Le 22/02/2019 à 10h11
#8
Le pire, c’est que j’ai un collègue au boulot (en boîte d’info hein en plus) qui a acheté une licence WinRAR il y a quelques années… 
" />
Sinon vieux motard qui ramait ! Ou un truc comme ça je crois…
Le 22/02/2019 à 10h12
#9
cela fait bien longtemps que je n’ai pas vu une archive en “.ace” : début des années 2000 peut être ?
Le 22/02/2019 à 10h22
#10
la patience pour récupérer les 99 fichiers pour se rendre compte que le .exe ne les rassemblait pas correctement et que tu ne verras pas ton film de vacances tout de suite… :‘)
Le 22/02/2019 à 10h27
#11
Le 22/02/2019 à 10h31
#12
Le 22/02/2019 à 12h23
#13
Le 22/02/2019 à 12h29
#14
J’étais en train de me demander si la compagnie existait encore, ça doit être le logiciel payant le moins vendu sur un espace de temps aussi long. 
" />
Le 22/02/2019 à 12h32
#15
Point de vu utilisateur/client un “warning” n’aurait-il pas été plus salutaire que de s’asseoir sur des données potentiellement importantes ?
" />
Apprends moi a ne pas m’en servir j’apprendrai comment m’en passer.
Le 22/02/2019 à 13h07
#16
y’avait pas aussi un truc “ultra HARC” qui s’exécutait en ligne de commande ? c’était assez efficace et combiné à du ACE justement.. mais ça remonte à mes début sur le net dans les années 97⁄98
" />
Le 22/02/2019 à 13h17
#17
Le 22/02/2019 à 13h24
#18
Le 22/02/2019 à 13h31
#19
Ha, bizarre; j’étais persuadé du contraire.
Je jetterai un œil alors.
Le 22/02/2019 à 13h32
#20
N’empêche, il reste une question importante : que faire de mon stock de fichiers arj…?
" />
Le 22/02/2019 à 13h41
#21
Vu qu’on est dredi, j’ai bien une réponse à te soumettre …
" />
Le 22/02/2019 à 13h43
#22
Pas au courant que ça existe, le plus souvent
Le 22/02/2019 à 13h43
#23
Le 22/02/2019 à 13h43
#24
Ca dépend fortement du type de fichier à compresser.
Un patch avec des jars se compresse mieux (chez moi) en 7z qu’en rar.
Pour un fichier multimédia, c’est inverse.
Va comprendre …
Le 22/02/2019 à 13h49
#25
Le 22/02/2019 à 14h00
#26
Perso j’utilise les deux mais j’ai une préférence purement historique pour winrar (je dois m’en servir depuis la version 1). Vu que c’est un soft que j’utilise énormément, je trouve ça normal de rémunérer les devs pour leur boulot (bon, je suis moi même dev donc ça change ptet mon pt de vue). J’ai aussi d’autres licences pour des sharewares, quand j’utilise un truc de manière régulière, je le paye. J’ai aussi de vraies licences payées pour des tas de softs pro (au lieu de versions crackées de merde)
Le 22/02/2019 à 14h18
#27
Je ne te jetterai pas la pierre si tu préfères WinRar, ça n’a rien d’illégitime d’avoir une préférence personnelle, mais quand tu cherches à comparer, formuler/argumenter le pourquoi de ta préférence, c’est mieux ^_^
Perso, ça fait des années que je suis passé à 7z : il est gratuit, supporte tous les formats que j’ai pu rencontrer, et j’ai pu l’intégrer dans des softs via des librairies/wrapper.
Ce dernier point a pu être important à un moment pour moi, c’est pas dit que ça intéresse/concerne grand monde (d’autant que j’ai aussi utilisé les librairies intégrées de .Net pour faire des choses analogues).
Le 22/02/2019 à 14h58
#28
Le 22/02/2019 à 15h29
#29
Il me semble qu’à un moment NextPCInpact donnait des licences Winrar non?
" />
Je dois avoir ça qui traîne quelque part sur un de mes disques durs
Edit :
https://www.nextinpact.com/archive/30435-Bonne-affaire-Winrar-351-complet-est-gr…
Le 22/02/2019 à 15h40
#30
Le 22/02/2019 à 15h54
#31
Le 22/02/2019 à 16h23
#32
Le meilleur algo de compression que je connaisse est celui de FitGirl. Pour ceux qui connaissent, oui, je parle de cracks de jeux.
Sinon, perso, sous Windows 7-zip, sous Linux tar+xz,bzip2,gz… j’utilise généralement du .tar.xz, parfois du .tar.gz voire du tar sans compression, selon si je cherche la vitesse ou la place…
Le 22/02/2019 à 16h39
#33
Je parle juste pour WinRAR la dernière version de leur format est régulièrement un poil plus efficace en mode “compression maxi” et un peu plus rapide en mode “normal”.
" /> (et pire encore pour le .uha dont parle jb18v 
" /> )
Cela dit à moins de compresser des To de données à longueur de journée les gains sont assez marginaux autant en taille qu’en temps
Sinon effectivement entendre parler d’archive .ace ça rajeuni pas
Après, tous ces formats “exotiques” sont sorti à l’époque pour tenter de détrôner le roi PKZip qui certes allait vite mais compressait mes burnes sauf que sur les bécanes de l’époque s’ils étaient incomparablement plus efficaces la plupart étaient tellement lents qu’ils étaient presque inutilisables en pratique
Le 22/02/2019 à 16h41
#34
Je connais le nom mais je doute qu’elle/il ai réellement inventé un nouveau format de compression, je pencherais plutôt pour une optimisation maxi en utilisant le format idéal pour chaque type de fichier (je salut quand même le taff, ça doit prendre des plombes à tester)
Le 22/02/2019 à 16h47
#35
Je pense effectivement qu’elle est partie sur une base existante, mais je serais pas si étonné qu’il y a ait ensuite des modifications plus poussées que ça, vu comment elle en parle dans certains articles qu’on retrouve sur son site. Après, c’est un système spécifique : le but est de compresser au maximum (la quantité de données LE point principal, puisque le but est de fournir des repacks « légers » pour ceux qui ont des connexions pourries), et de décompresser pas trop lentement.
La dernière fois, elle indiquait qu’un de ses repacks se décompressant en quelques heures sur un bon matos avait pris des jours à être compressé.
Le 22/02/2019 à 19h25
#36
Le 23/02/2019 à 00h40
#37
Ah ACE… A l’époque j’avais switché quasiment tout ce que j’avais en ZIP dans ce format pour gratter de la place sur mon disque dur IBM de 40 Go (qui tombait constamment en panne).
" /> et on ne rivalise pas avec un Winrar à licence shareware éternelle 
" /> Enfin au moins les fichiers ne souffraient pas de ces crashs… le site internet a disparu l’année dernière, bien qu’il n’avait jamais changé depuis 15 ans 
" />
Oui c’était une belle bêtise. Le format était peut-être correct, mais le logiciel officiel WinACE plantait constamment
J’ai découvert 7-Zip vers l’été 2003, pas mal de mois avant qu’il ne commence à être connu et j’ai tout reconvertit dessus. La tranquillité depuis. A noter que la version 19.00 est sorti hier.
Le 23/02/2019 à 13h22
#38
Le 24/02/2019 à 11h02
#39
Je confirme que cet algo m’intrigue pas mal depuis que j’ai vu le taux de compression. Je ne sais plus quel jeu j’avais téléchargé, environ 15 Go de DL, pour un dossier décompressé de 60 ou 65 Go… Après 1h30 de décompression (sur un bon CPU) ! J’avais fais l’opération inverse en RAR5, en ZIP, en 7z-lzma et en 7z-bzip2, tout en ultra compression, j’étais pas arrivé en dessous des 50% (donc 30 à 35 Go). Sachant que le poids des jeux sont surtout dans les textures et l’audio, et que ce sont déjà des formats multimédia compressés, ça laisse rêveur.
Le 24/02/2019 à 12h13
#40
Me suis planté, apparemment elle utilise un truc existant d’après sa FAQ :
Q: How do you compress games? With what tools?
A: I use mostly FreeArc for compression and Inno Setup as an
installer. Some games require other compressors, but in 99.9% of cases
it’s FreeArc.
Ça me surprends un peu, surtout qu’elle avait indiqué faire des essais sur des nouvelles méthodes… et comme toujours selon elle la compression est sa passion, ça me surprends d’autant plus qu’elle n’utilise que des trucs existants.