Comments 67
UFO just landed and posted this here
UFO just landed and posted this here
Отлично, добавлю в топик, но это лишь означает, что есть решение проблемы.
Прямо на главной www.win-rar.ru/download/winrar/ предлагается скачать 4.20
Прямо на главной www.win-rar.ru/download/winrar/ предлагается скачать 4.20
UFO just landed and posted this here
Ох, точно, спасибо за наводку.
Жаль, что в моей выдаче гугла (думаю, как и многих) ссылка на win-rar.ru стоит выше.
Жаль, что в моей выдаче гугла (думаю, как и многих) ссылка на win-rar.ru стоит выше.
Левая, зато раскрученная! У меня, например, она тоже первой идёт.
На эту «левую» страницу есть ссылка на официальном сайте www.rarlab.com/gp_country.php?country=Russia
UFO just landed and posted this here
Какая разница, как она выглядит? Рарлаб тоже c 2002 года не сильно изменился и что с того?
Как понимаю, это вообще официальный дилер.
Это не только левая версия, видимо и какая то правленая впридачу — попробовал на старых версиях 3.7, 3.95, 4.01 — никаких проблем — то что видим внутри, то и открываем.
Кстати другое поведение было бы как минимум странно, т.к. работая с одним заголовком в проводнике, использовать имя из другого заголовка при открытии файла видится мне специально сделаной «фичей» — мало того что не логично, еще и сложнее в реализации.
Кстати другое поведение было бы как минимум странно, т.к. работая с одним заголовком в проводнике, использовать имя из другого заголовка при открытии файла видится мне специально сделаной «фичей» — мало того что не логично, еще и сложнее в реализации.
С уважением отношусь к автору замечательного архиватора WinRar и не хочу его «обворовывать», ставя на компьютеры всех родственников/знакомых архиватор. Ставлю 7-zip.
А вообще как то давно во времена CD сам придумал такую фишку в режиме командной строки винрару можно указать процент избыточности архива — вплоть до 90%. Т.о. «расширяем» архив с важными данными до размера CD-болванки и, в случаебитых секторов царапания восстанавливаем данные
А вообще как то давно во времена CD сам придумал такую фишку в режиме командной строки винрару можно указать процент избыточности архива — вплоть до 90%. Т.о. «расширяем» архив с важными данными до размера CD-болванки и, в случае
Насколько я помню, максимальный размер информации для восстановления всегда (сколько я застал) был 10%. Или вы что-то другое имеете в виду?
> С уважением отношусь к автору замечательного архиватора WinRar и не хочу его «обворовывать», ставя на компьютеры всех родственников/знакомых архиватор. Ставлю 7-zip.
Шедевр логики просто. Полагаете, Евгению Рошалу теперь спокойнее по ночем спится?
Шедевр логики просто. Полагаете, Евгению Рошалу теперь спокойнее по ночем спится?
Забыли упомянуть, что уязвимость только в Windows-версиях архиватора.
Вроде бы взаимоисключающее выходит: проводник WinRAR есть только в Windows.
Формально на сайте есть «WinRAR for Linux»
А Вы уверены что там нет ошибки? Необязательно с exe же, какой угодно скрипт.
www.rarlab.com/rar/WinRARLinux.tar.gz
А, вы про багу. Ну, в линуксах не принято запускать что-либо «по клику» без указания «ЗАПУСТИ ЭТО».
То есть cd ~/download;./badscript — да. cd ~/download;badscript — нет.
В этом старинное и очень серьёзное различие между юниксами и виндами.
А, вы про багу. Ну, в линуксах не принято запускать что-либо «по клику» без указания «ЗАПУСТИ ЭТО».
То есть cd ~/download;./badscript — да. cd ~/download;badscript — нет.
В этом старинное и очень серьёзное различие между юниксами и виндами.
Все равно не понимаю. Ну нету WinRAR gui под линукс.
Писать — «О, а вот линукс версия не уязвима!» — это такое скрытое программирование людей, что пора бы уже всем под линукс? :)
Писать — «О, а вот линукс версия не уязвима!» — это такое скрытое программирование людей, что пора бы уже всем под линукс? :)
Тут скорее вопрос в отношении к исполняемым файлам. В виндах общепринято запускать скачанные из интернета исполняемые файлы. Куча добропорядочного софта так распространяется.
В юниксах не принято исполнять что попало как попало. То есть если что-то исполняется (как скрипт, или как исполняемая программа) то обычно требуется явное указание «выполни это», а весь уважающий себя софт распространяется через доверенные каналы с цифровыми подписями, которые в добавок ещё требуют прав суперпользователя для установки.
В юниксах не принято исполнять что попало как попало. То есть если что-то исполняется (как скрипт, или как исполняемая программа) то обычно требуется явное указание «выполни это», а весь уважающий себя софт распространяется через доверенные каналы с цифровыми подписями, которые в добавок ещё требуют прав суперпользователя для установки.
> Тут скорее вопрос в отношении к исполняемым файлам.
Тут вопрос о баге в UI конкретной программы. Обсуждать можно ли написать под линуксы программу, молча запускающую другую программу или что в линуксе нет ни WinRAR, ни его глюков — толстый троллинг.
Кстати, «WinRAR for Linux» нету, есть «RAR for Linux». Но это же мелочи, когда холивар надо разводить.
Тут вопрос о баге в UI конкретной программы. Обсуждать можно ли написать под линуксы программу, молча запускающую другую программу или что в линуксе нет ни WinRAR, ни его глюков — толстый троллинг.
Кстати, «WinRAR for Linux» нету, есть «RAR for Linux». Но это же мелочи, когда холивар надо разводить.
Ну, в линуксах не принято запускать что-либо «по клику» без указания «ЗАПУСТИ ЭТО».
Хотя всякие «хипстерские» штуки постоянно пытаются эту идеологию протолкнуть через curl… | bash ;-)
Так это практически ничем не отличается от wget URL && tar -xvf FILE.tar.gz && ./BINARY. Только действий меньше.
Нет, я о том как многие сайты пропагандируют установку через бездумное выполнение кода, скачанного из сети (бонусные баллы за отсутствие https и пайп в sudo sh).
Есть такая проблема. Впрочем, её решение — не в изменении людей, а в организации адекватной песочницы уровня ОС. В принципе, процесс идёт (база для LXC сделана, осталось всё это очень аккуратно увязать чем-то типа docker'а). Надеюсь в ближайшие лет 5 увидеть, наконец, песочницу, которая сможет запускать нативный код с контролируемыми пермишеннами на всё (и без ада SELinux'а).
Так он тянет с собой Wine и представляет собой виндовую версию.
Разница между
Всего лишь наличие или отсутствие точки (current directory) в путях.
И всё.
./badscript и badscript минимальна. Тем более — не старинное и очень серёзное различие.Всего лишь наличие или отсутствие точки (current directory) в путях.
И всё.
Мало того, что там нет UI. Там, похоже, консольная версия вообще ZIP не поддерживает (что неудивительно).
UFO just landed and posted this here
В Андроиде что-то такое было. Только не имя файла подменялось, а сам файл.
Наша старая 3.92 не подвержена этой уязвимости. Проверили ZIP_WINRAR_POC.zip и rar открывает test1.txt как бинарный файл в блокноте.
На старенькой 3.80 не воспроизводится.
Пошел и обновил до 5-й версии, от греха подальше.
Очевидно, что данный спуфинг расширения имени файла эксплуатирует неортогональность формата архива. Для файла в архиве указано два имени с разными целями: одно — для отображения в GUI, другое — для всего остального. Для чего такое может быть полезно с точки зрения прикладного уровня? И есть ли, к примеру, еще какие-то аттрибуты у этого блока отображаемого имени, например, возможность полного сокрытия файла в архиве с точки зрения того же GUI? Ближайшее по смыслу из известных мне, но более объяснимое явление: короткие и длинные имена в файловой FAT — хотя бы есть веская причина: унаследованный формат каталога, в который просто так не впихнёшь длинные имена; последние, кстати, легко убиваются утилитой SCANDISK из дистрибутива MS-DOS v6.20.
А зачем вообще нужен Winrar если есть 7zip?
Имхо, потому что иногда за качество + поддержку = уверенность хотят заплатить.
Для примера, загляните хотя бы в баг-трекер 7zip.
Для примера, загляните хотя бы в баг-трекер 7zip.
Со списком уязвимых версий везде бардак. Некоторые недоисследователи сообщают, что прям на всех версиях работает, включая WinRAR 5.1
Я залез на эту страничку, скачал и протестировал все находящиеся там версии WinRAR.
Вот что получилось:
На Windows 7 x32 и Windows XP SP3 x32 уязвимы следующие версии WinRAR
Примечательно, что работает на 2.60 и 2.80, тогда как на промежуточными между ними 2.70 и 2.71 не работает.
С 3.11 до 4.01 не работает, но начинает работать на 4.11 и 4.20
Я залез на эту страничку, скачал и протестировал все находящиеся там версии WinRAR.
Вот что получилось:
На Windows 7 x32 и Windows XP SP3 x32 уязвимы следующие версии WinRAR
- 4.20
- 4.11
- 3.00
- 2.90
- 2.80
- 2.60
Примечательно, что работает на 2.60 и 2.80, тогда как на промежуточными между ними 2.70 и 2.71 не работает.
С 3.11 до 4.01 не работает, но начинает работать на 4.11 и 4.20
Sign up to leave a comment.
Спуфинг расширения в winrar