В WinRAR нашли древнюю дыру

Wtf ace-архив?

в 2019 tar.gz хватит всем

Дык, в автозагрузку любой дурак может прописать всё, что угодно, и прав для этого не нужно. Но выполняться оно будет из-под пользователя. В чём дыра-то?

вендузятники необучаемы - есть же 7 zip!

Чего?

Запуск левого кода при открытии архива не дыра?

У тебя просто передоз глупости.

Запуск левого кода при открытии архива
в автозагрузку Windows можно запихать любой код

И чего?

Когда мне приходит архив, я в папке Загрузки жмакаю «распаковать здесь». А мне каким-то боком в автозагрузке появляется левая ерунда.

Это уязвимость. Как не крути...

ЗЫ: вы чего там в своём котовом клубе курите?

Редкий архив времён чистого DOS.

Не уверен, что этот ACE поддерживал имена в формате, отличном от 8.3

Ну и кстати, напомнило про CVE-2007-4131 в GNU tar

Вот и отлично.

Когда мне приходит архив, я в папке Загрузки жмакаю «распаковать здесь». А мне каким-то боком в автозагрузке появляется левая ерунда.

Гляжу, у вас в винде в автозагрузке левая ерунда никогда не появлялась. Что ж, вы везунчик

Как пишут, злоумышленник может переименовать *.ace в *.rar, и юзер не заметит подмены.

Винрар был стандартом когда 7з и в проекте не было.

Винрар был известен только в этой стране. Стандартом был винзип. Винда даже с зипами работала как с папками.

в 2019 tar.gz хватит всем

Для больших и жирных архивов не годится.

А наш друг космополит?

Зато Яндекс предупреждает, что мой компьютер «заражён вирусом», и пропагандирует:

«Ваш компьютер под угрозой
Скорее всего, вредоносная программа на вашем компьютере подменяет содержимое страниц. Сервисы Яндекса могут работать некорректно, на страницах может показываться непристойная или отталкивающая реклама. Шаг 1. Проверьте систему антивирусом Dr.Web CureIt! Также можно попробовать Kaspersky Virus Removal Tool ... Шаг 2. Заблокируйте вредоносную рекламу `Chistilka`. Также можно попробовать Yandex Rescue Tool или Reason Core Security».

https://yandex.ru/safe/win/?from=popup_serp_ru_text7-bounce-right-bottom

Я даже не знаю, стоит ли нажимать на какие-то кнопки. Или не рисковать?

Гляжу, у вас в винде в автозагрузке левая ерунда никогда не появлялась. Что ж, вы везунчик

Ну одно дело, если пользователь ставит программу или ещё что запускает выполняемого. И у него что-то в автозагрузке появилось.

А другое дело, когда тупо архив распаковывает (не SFX). И ему сюрприз.

Разница как бы есть.

ЗЫ: как будто в других десктопный ОС нет автозагрузки, и туда приложение не может писать

в проекте не было

причем здесь это? винрар платный, а 7з бесплатный, но эти долбодятлы все равно на триале едут - я ж говорю не обучаемые! причем ставлю им винду и 7з - через месяц смотрю винрар нарисовался, спрашиваю - зачем, ничего не знаем это ты нам так сделал, жопа полная - не переубедишь, да еще и крайним останешься!

Он умеет инфу для восстановления? Или при потере одного байта все полетит к чертям?

Да, сейсас винрар пользуют вообше ВСЕ...

Винда даже с зипами работала как с папками.

это с недавних пор, не изначально

но 7z более лучше жмёт

Винда даже с зипами работала как с папками.

это с недавних пор

С 2001 года (18 лет)? Нормальное такое недавно.

Кого-то волнует? Кто-то ещё реально жмёт?

Все дистры линукса жмут! И исходники, и бинарники

Винрар был известен только в этой стране

4.2

Все дистры линукса жмут!

ЖМУ ПИНУС!

Разница как бы есть.

Особой нет. Полон интернет стонов, «я куда-то зашёл, теперь у меня при запуске браузера первым делом открывается сайт ххх». Вполне тупое действие. А тут примерно то же самое. Неприятно, но трагедии нет. Учитывая сравнительно небольшое количество пользователей WinRAR, то и вообще - проблема маргиналов

Естественно. Но не в 7zip или рар. А вообще рекорды обычно за PAQ, но он симметричный (сжатие и разжатие одинаково долго)

Выжимать крохи особо никто не гонится — не имеет смысла.

Есть.

Одно дело если пользователь «ой я не туда нажал, ерунду запустил», а другое если баг.

Если ты это не понимаешь — то это диагноз.

А сабж называется уязвимостью и тут другого толкования быть не может.

при потере одного байта

я не понимаю как это возможно - архив либо битый, либо нет! что значит потерять байт из архива - выдернуть флеху при копировании на нее архивного файла? как это осуществить в физическом плане бытия?

винрар пользуют вообше ВСЕ

если бы они его купили - вопросов бы не было, а так зачем воровать когда за бесплатно есть лучше!

Если ты это не понимаешь — то это диагноз.

Работать с архивами АСЕ в 2019 - это из разряда «не туда нажал, ерунду запустил». Проблема маргиналов.

В компании могут оставаться архивы ещё со времён доса, например.

У меня ещё лежат архивы JAR/AIN от 1994-1995 года, под паролем. Пароль забыл.

Опять мимо.

Продукт должен предоставлять фичу безопасно. Вот и всё.

Это вина не пользователя, а продукта и разработчика.

Не можешь реализовать данную фичу безопасно — убирай (так и сделали в WinRAR), либо как-то исправляй.

Вот в 7zip поддержки ACE архивов и не было. Ну мутный неоткрытый формат.

ЗЫ: буй знает кто тут, вроде технический ресурс, а мышление детского сада

я не понимаю как это возможно - архив либо битый, либо нет! что значит потерять байт из архива - выдернуть флеху при копировании на нее архивного файла? как это осуществить в физическом плане бытия?

Например, использовать битую память: Два изначально идентичных файла отличаются одним битом

Естественно. Но не в 7zip или рар. А вообще рекорды обычно за PAQ, но он симметричный (сжатие и разжатие одинаково долго)

kernel.org выкладывает в .xz, а .xz использует код 7zip

это было вполне актуально в эпоху дискет и сидюков, только там скорее не байт, а секторами терялись куски

но 7z более лучше жмёт

И немного дольше

Продукт должен предоставлять фичу безопасно. Вот и всё.

Кто должен, кому должен? Ты думаешь, в используемых тобой продуктах нет дыр? Ты думаешь, разработчики задумывались о безопасности? А вот и ни фига. И дыры есть (просто их ещё никто не нашёл), и о безопасности думали задним числом (когда вот подобный скандал начинался).

Вот в 7zip поддержки ACE архивов и не было. Ну мутный неоткрытый формат.

Зато там есть поддержка архивов .rar. Мутный неоткрытый формат.

UNACEV2.dll

Тем временем у линуксоидов есть свой unace с исходниками. Которые не обновлялись с тех же 2003-2005 годов.

Ну кто бы сомневался, учитывая древность этого форма и, что .ACE работает только в WinRAR и мб в каких то специфичных архиваторов.

Из линуксовых архиваторов, которые поддерживает .ACE - знаю лишь PeaZIP. Хоть убейте - больше не назову.

Ты думаешь, в используемых тобой продуктах нет дыр? Ты думаешь, разработчики задумывались о безопасности? А вот и ни фига. И дыры есть (просто их ещё никто не нашёл)

Естественно думают хоть в какой-то степени. Часто в недостаточной.

Тут обнаружилась уязвимость — её устранили. Это факт.

А уж чего ты там думаешь, и чего тебе нравится или нет — это до лампочки 💡

7zip'ом, ага

Тут обнаружилась уязвимость — её устранили. Это факт.

Просто, при желании, таких уязвимостей можно накопать где угодно, в любых приложениях. Просто не стоит оно того. И то, что приложения дырявы - это норма. Ничего страшного нет, пока это не принимает масштаба эпидемии

алгоритм тот же, LZMA

А другой вопрос. Ты спросил где дыра? Дыра есть. Вот и всё 😛

Насколько дыряво остальное или нет на это не влияет и к сабжевой теме не относится.

Считать это дырой, или нет, это как спорить, баг это или фича. Бесполезно, тащемто