2019-02-23
▷ 개요
l RARLAB의 WinRAR에서 임의폴더에 파일 생성 가능 취약점 발견 [1]
▷ 설명
l WinRAR에서 unacev2.dll 라이브러리의 설계가 미흡하여 임의 폴더에 악성파일 해제가 가능
이를 통해, 윈도우 시작프로그램 폴더에 악성 파일을 생성하여 실행이 가능한 취약점(CVE-2018-20250) [1]
※ unacev2.dll : WinRAR에서 ACE 저장 형식을 사용하기 위해 사용되는 동적 라이브러리
▷ 영향을 받는 제품
l WinRAR
- 5.70 Beta 1 이전 버전
▷ 해결 방안
l 최신 버전 업데이트
- WinRAR 5.70 Beta 1 이상 버전으로 업데이트 [2]
※ 베타 버전으로, 서버 또는 PC의 영향도를 고려하여 업데이트 진행 권고
▷ 참고 사이트
- [1] https://nvd.nist.gov/vuln/detail/CVE-2018-20250
- [2] https://www.win-rar.com/download.html