Gli sviluppatori del noto software di compressione WinRAR hanno corretto una vulnerabilitร critica, tracciata nel bollettino di sicurezza CVE-2025-6218, che consentiva l’esecuzione di codice malevolo durante l’estrazione di archivi manipolati. La falla, con un punteggio CVSS pari a 7.8 (alta gravitร ), รจ stata individuata dal ricercatore di sicurezza whs3-detonator. ร stata inoltre segnalata tramite il programma Zero Day Initiative ad inizio giugno 2025.
Quali erano i rischi della falla di WinRAR
Il problema riguarda esclusivamente la versione Windows di WinRAR (fino alla 7.11 inclusa) ed รจ stato risolto con il rilascio della release 7.12 beta 1, pubblicata il 24 giugno. Essa consentiva di creare un archivio malevolo con la possibilitร di includere dei percorsi relativi manipolati che potevano indurre WinRAR ad estrarre file in directory sensibili del sistema. Come quelle di avvio automatico.
Questo comportamento, invisibile all’utente, poteva portare all’esecuzione automatica di malware al successivo riavvio del computer. I file eseguiti non acquisivano dei privilegi di amministrazione ma potevano comunque sottrarre dati sensibili come password salvate o cookie di navigazione, persistere nel sistema o aprire backdoor per ulteriori attacchi.
L’exploit richiedeva comunque l’interazione dell’utente. Come l’apertura di un archivio malevolo. La grande diffusione di WinRAR e l’abitudine degli utenti di non aggiornare il software avrebbero perรฒ amplificato il rischio di un attacco.
Risolta anche una vulnerabilitร di HTML injection
Oltre alla CVE-2025-6218, la nuova versione di WinRAR risolve anche una vulnerabilitร di HTML injection nella generazione dei report. Essa poteva infatti consentire l’inserimento di codice HTML o JavaScript nei report aperti tramite browser.
Infine, sono state corrette due anomalie minori legate ai volumi di recupero e alla precisione temporale su sistemi Unix.
Come anticipato, la falla non coinvolga le versioni Unix, Android e il codice sorgente UnRAR portatile. Gli sviluppatori raccomandano perรฒ di aggiornare immediatamente WinRAR per proteggersi da possibili attacchi futuri.
Per restare sempre aggiornato seguici su Google News!
