WinRAR 7.23 FR
https://www.rarlab.com/rar/winrar-x64-723fr.exe
https://www.win-rar.com/singlenewsview.html?&L=0
1. Une vulnérabilité liée à un débordement de tas a été corrigée dans le
code de reconstruction des données du volume de récupération RAR5.
Elle affecte WinRAR, RAR et UnRAR.
La bibliothèque UnRAR.dll ne prend pas en charge le traitement du volume
de récupération, elle n'est donc pas concernée.
Nous remercions Arjun Basnet, de Securin Labs, de nous avoir signalé
cette faille de sécurité.
2. Un lien symbolique pointant en dehors du dossier de destination pouvait
être créé même sans l'option -ola, lors de l'extraction d'une archive RAR
spécialement conçue par WinRAR, RAR, UnRAR ou la bibliothèque UnRAR.dll.
Une vérification supplémentaire dans le code d'extraction empêche
le placement de fichiers dans un tel dossier, même en cas de commandes
d'extraction multiples, excluant ainsi la possibilité d'une attaque par
traversée de chemin pour les extractions basées sur WinRAR, RAR ou UnRAR.
Cela limite la menace potentielle au cas où un autre outil utiliserait ce
lien symbolique pour stocker des fichiers.
Nous remercions scofaild23-bnomran de nous avoir signalé ce
problème de sécurité.
3. La bibliothèque d’extraction 7z 7zxa.dll est mise à jour vers
la version 26.02 afin d’inclure les corrections de bogues et de
vulnérabilités apportées par le développeur de la bibliothèque.
4. L'option -iver affiche la version de RAR même si -idc est spécifié
dans la ligne de commande, le fichier de configuration ou la variable
d'environnement RARINISWITCHES. Auparavant, -idc bloquait l'action de -iver.
De plus, un caractère de nouvelle ligne est ajouté à la sortie de -iver.