WinRAR, il popolare software di compressione dei file, ha messo fine ad una falla nella sicurezza che ha esposto il programma per oltre 19 anni. La scoperta della vulnerabilità, attiva da quasi due decenni, è avvenuta per mano dei ricercatori di Check Point Software Technologies, che hanno individuato in un vecchio formato non più supportato da WinRAR una grave problematica di sicurezza. Si tratta del formato ACE, non supportato dal programma dal 2006: questo ha fatto sì che il software si sia basato per anni su un DLL non sicuro e datato. E per questo vulnerabile agli attacchi.
Secondo i ricercatori, a causa di questo bug era possibile semplicemente rinominare un file .ACE in .RAR per far estrarre a WinRAR file malevoli sul computer dell'ignara vittima, facendoli finire all'interno della cartella di avvio e, di conseguenza, portando al loro avvio alla successiva accensione del computer. Una grave falla di sicurezza dovuta proprio al supporto ormai terminato del formato ACE, che in questo caso funziona come una sorta di cavallo di Troia per i malware.
Dopo aver segnalato la vulnerabilità a WinRAR, gli sviluppatori del programma hanno rilasciato l'aggiornamento 5.70 che ha di fatto annullato completamente il supporto ai file ACE. Una scelta sensata, visto che il programma per creare gli archivi ACE, WinACE, non viene aggiornato dal 2007. Avrebbe quindi avuto poco senso perdere tempo per risolvere la falla. Nonostante la lunga storia di questo bug, non è chiaro se sia stato effettivamente utilizzato negli ultimi 19 anni per colpire qualche utente. Con oltre 500 milioni di utenti WinRAR in tutto il mondo, però, il rischio che sia successo è molto alto. Se fate parte di questi 500 milioni, insomma, il consiglio è quello di aggiornare il prima possibile per non cadere nella trappola di questo bug.