A WinRAR igen komoly népszerűségnek örvend a felhasználók körében, hiszen a tömörített állományok létrehozására és kicsomagolására alkalmas szoftver könnyen kezelhető, sokoldalú, és még a 30 napos próbaverzió lejárta után sem korlátozza a működését, így rengetegen használják később is az alkalmazást.

Az alkalmazást a fejlesztők szerint nagyjából 500 millióan használják, azaz komoly felhasználói bázis épült köré, ami egyfelől jó, ugyanakkor komoly felelősséggel is jár. Mint kiderült, az alkalmazás korábbi, 5.70-es kiadás előtti verziói tartalmaztak egy komoly sebezhetőséget, ami 19 éve lappang, az elmúlt időszakban azonban elkezdték támadni a hackerek, hogy profitáljanak belőle, még mielőtt mindenki a biztonságos verzióra váltana. A McAfee labs szerint 100-nál is több exploit áll már rendelkezésre, de folyamatosan érkeznek az újabbak, így egyre több veszély leselkedik mindazokra, akik a sérülékeny változatokat használják. Az exploitok, vagyis a sebezhetőséget kihasználó kódok egyébként akkor kezdtek el igazán terjedni, amikor a Check Point munkatársai lerántották a leplet a sebezhetőségről: a 100-nál is több „támadásforma” a bejelentést követő egy héten belül bukkant fel. Ezek az exploitok az Amerikai Egyesült Államok területén keresték áldozataikat.

A hibát az UNACEV2.DLL okozza, ami egy régi, elavult dinamikusan betölthető könyvtár (DLL – Dynamic Link Library). Ezt a fájlt még 2006 folyamán fordították, nem tartalmaz semmiféle védelmet, mint például ASLR-t, DEP-et, vagy egyebet. Az ACE formátumhoz tartozó DLL fájlhoz egy 19 éves sebezhetőség kapcsolódik, ám ezt a WinRAR mögött álló Rarlab fejlesztői sajnos nem tudják javítani, hiszen nem férnek hozzá a harmadik fél által készített DLL forráskódjához, így nem maradt más választásuk, megszabadulnak a DLL-től és így a régi ACE formátum is kiesik a támogatott állományok köréből. Az exploitok segítségével egyébként lehetőségük nyílik a támadóknak arra, hogy átvegyék egy adott rendszer felett az irányítást, csak annyit kell elérniük, hogy a speciálisan elkészített tömörített állományt kicsomagolja az áldozat – ehhez hangzatos neveket adnak az állománynak, vagy az éppen keresett tartalomnak álcázzák azt. A sebezhetőség keretén belül a fertőzött állomány kicsomagolásakor nem csak a hőn áhított fájlt tömöríti ki az adott helyre a rendszer, hanem egy másik, kártékony kódot tartalmazó állományt is, amelyet például az automatikusan induló alkalmazások számára készített „Startup” könyvtárba másol, ahogy az a lenti videón is látható.

A Rarlab munkatársai a WinRAR 5.70-es kiadásától kezdve tehát eltávolították az UNACEV2.DLL fájlt, így az ACE állományok támogatása is véget ért, ami manapság azért talán nem olyan nagy érvágás. A fejlesztők azt ajánlják, mindenki frissítsen az 5.70-es kiadásra, ha teheti; ezzel egy időben pedig tartózkodjunk a gyanús forrásból származó tömörített állományokkal is. Utóbbi persze egy örök érvényű tanács.