Hack Alerta

WinRAR 7.23 corrige estouro de heap que pode levar a travamentos de aplicativo

WinRAR 7.23 corrige estouro de heap no RAR5 (CVE-2026-14191). Entenda os riscos de exploração e como atualizar sua infraestrutura.

Descoberta e escopo da falha

A versão 7.23 do WinRAR aborda uma vulnerabilidade de estouro de heap recém-divulgada no código de processamento de volume de recuperação RAR5, rastreada como CVE-2026-14191. Esta atualização de manutenção focada em segurança corrige principalmente duas vulnerabilidades que impactam a manipulação e a segurança de extração de arquivos.

A questão mais crítica é um estouro de heap na lógica de reconstrução de dados de volume de recuperação RAR5, que afeta os componentes WinRAR, RAR de linha de comando e UnRAR. O problema reside no código que reconstrói dados de volumes de recuperação RAR5, arquivos especiais usados para reparar arquivos compactados multi-volume danificados.

Análise técnica detalhada

De acordo com o changelog do WinRAR, dados de volume de recuperação RAR5 especialmente elaborados poderiam causar escritas fora dos limites no heap quando processados, corrompendo estruturas na memória e desestabilizando os binários WinRAR, RAR e UnRAR. Notavelmente, a biblioteca UnRAR.dll distribuída pela RARLAB não implementa o processamento de volume de recuperação e, portanto, não é diretamente afetada por essa falha específica.

Do ponto de vista da exploração, um atacante precisaria convencer um usuário ou aplicativo a processar volumes de recuperação RAR5 maliciosos junto com um arquivo compactado alvo, por exemplo, distribuindo arquivos .rev elaborados agrupados com conteúdo legítimo. A exploração bem-sucedida poderia levar a negação de serviço via travamentos do WinRAR e, dependendo do comportamento do alocador e das mitigações circundantes, poderia ser encadeada com outros bugs para execução arbitrária de código.

Outras correções de segurança

Além do estouro de heap, o WinRAR 7.23 endurece o manuseio de links simbólicos durante a extração para mitigar riscos de travessia de caminho (path-traversal). Isso impede que arquivos sejam colocados via tais links em várias operações de extração, bloqueando efetivamente uma classe de cenários de travessia de caminho nos fluxos de trabalho de extração baseados em WinRAR, RAR e UnRAR.

A RARLAB também atualizou a biblioteca de extração 7zxa.dll integrada para a versão 26.02, incorporando correções de bugs e patches de segurança upstream do 7-Zip para melhorar o manuseio seguro de arquivos 7z.

Impacto por setor e adoção

Este tipo de vulnerabilidade é particularmente relevante em ambientes onde o UnRAR ou RAR é incorporado como ferramenta de backend, como servidores de e-mail, sistemas de backup ou pipelines de processamento de arquivos, porque operações de recuperação automatizadas podem ser acionadas sem o conhecimento direto do usuário.

Dadas as explorações reais passadas de bugs do WinRAR em campanhas motivadas financeiramente, manter utilitários de arquivo compactado atualizados tornou-se um requisito comum de endurecimento em ambientes corporativos.

Medidas de mitigação recomendadas

Usuários e administradores devem atualizar o WinRAR, RAR e UnRAR para a versão 7.23 ou posterior, especialmente em sistemas que processam arquivos compactados não confiáveis ou volumes de recuperação da internet, e-mail ou armazenamento compartilhado. Organizações que incorporam UnRAR ou RAR em fluxos de trabalho do lado do servidor devem verificar se os binários agrupados foram atualizados.

Considere monitorar volumes de recuperação RAR5 suspeitos ou inesperados em logs e filtros de conteúdo como medida preventiva. A atualização deve ser parte do ciclo normal de gerenciamento de patches de software.

Comparação com vulnerabilidades anteriores

Explorações anteriores de bugs do WinRAR demonstraram que utilitários de arquivo compactado são alvos frequentes para entrega de malware. A correção deste estouro de heap fecha uma brecha que poderia ser usada para comprometer a integridade do sistema ou exfiltrar dados através de arquivos compactados maliciosos.

O que os CISOs devem fazer imediatamente

1. Verificar a versão do WinRAR em todos os endpoints e servidores.

2. Atualizar para a versão 7.23 ou posterior imediatamente.

3. Revisar logs de extração de arquivos para detectar volumes de recuperação RAR5 suspeitos.

4. Considerar a restrição de execução de scripts ou binários de extração não confiáveis.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.