"O problema decorre da falta de validação adequada dos dados fornecidos pelo utilizadores, o que pode resultar em acesso à memória após o final de um buffer alocado," disse a Iniciativa Zero Day (ZDI) num comunicado.

"Um atacante pode explorar essa vulnerabilidade para executar código no contexto do processo atual."

A exploração bem-sucedida da falha requer interação do utilizador, pois o alvo deve ser induzido a visitar uma página maliciosa ou simplesmente abrir um ficheiro adulterado.

Um investigador de segurança, que usa o pseudônimo goodbyeselene, foi creditado por descobrir e relatar a falha em 8 de junho de 2023. O problema foi resolvido na versão 6.23 do WinRAR lançada em 2 de agosto de 2023.

"Um problema de segurança envolvendo escrita fora dos limites foi corrigido no código de processamento de volumes de recuperação do RAR4," afirmaram os responsáveis pelo desenvolvimento do software.

A versão mais recente também aborda um segundo problema em que "o WinRAR poderia iniciar um ficheiro errado depois de um utilizador clicar duas vezes num item de um ficheiro especialmente criado." O pesquisador da Group-IB, Andrey Polovinkin, foi creditado por relatar o problema.

Recomenda-se que os utilizadores atualizem para a versão mais recente para mitigar estas ameaças.