WinRAR Menambal Celah Heap-Overflow di File Recovery RAR5
WinRAR 7.23, dirilis 30 Juni 2026, menambal celah heap-overflow (CVE-2026-14191) pada cara aplikasi ini memperbaiki arsip RAR5 multi-volume. Celah ini butuh file recovery-volume .rev yang direkayasa plus aksi perbaikan untuk aktif, dan karena WinRAR tidak punya auto-update, perbaikan ini hanya sampai ke Anda setelah Anda sendiri mengunduh versi 7.23.
Last reviewed: 2026-07-08
Apa yang Terjadi
RARLAB merilis WinRAR 7.23 pada 30 Juni 2026, menutup bug heap-overflow yang dilaporkan peneliti Arjun Basnet dari Securin Labs pada kode yang membangun ulang arsip multi-volume yang rusak dari recovery volume RAR5 (file .rev). Sebuah file .rev berikutnya dalam satu set bisa mendeklarasikan nomor record yang tidak pernah diperiksa kode terhadap buffer yang sudah dialokasikan WinRAR, sehingga file yang direkayasa bisa menulis data yang dikontrol penyerang melewati batas buffer itu. RARLAB menyebut ini varian dari celah 2023 (CVE-2023-40477) yang saat itu hanya ditambal pada format RAR3 yang lebih lama - RAR5 tetap terbuka sampai rilis ini. UnRAR.dll tidak terdampak, karena library itu tidak pernah memproses recovery volume; WinRAR, alat command-line RAR/UnRAR mandiri, dan RAR untuk Android ikut mewarisi perbaikan ini.
Untuk memicunya butuh lebih dari sekadar membuka file: target harus menjalankan "Repair archive," uji unrar t, atau proses recovery otomatis yang dicoba WinRAR pada set yang tidak lengkap, terhadap arsip yang dikirim bersama file .rev yang sudah dijebak. Tingkat keparahannya CVSS 7.8; situs pelacak kerentanan belum mencatat kode exploit publik atau kasus penyalahgunaan nyata yang terkonfirmasi sampai saat ini - berbeda dengan celah WinRAR lama yang sudah ditambal, namun tetap dieksploitasi penyerang selama berbulan-bulan karena banyak instalasi yang tidak pernah diperbarui.
| Item | Detail |
|---|---|
| Terdampak | WinRAR, RAR, alat command-line UnRAR (hingga versi 7.22) |
| Tidak terdampak | UnRAR.dll (tidak memproses recovery volume) |
| Ditambal di | WinRAR 7.23 (30 Juni 2026) |
| Pemicu | Operasi Repair atau test pada set RAR5 multi-volume + .rev yang direkayasa |
Mengapa Ini Penting untuk File Sehari-hari
Recovery volume adalah file .rev opsional yang ditambahkan beberapa alat pengarsipan agar satu set RAR multi-bagian bisa dibangun ulang jika ada bagian yang hilang atau rusak. Kebanyakan orang tidak pernah menyentuhnya langsung, tapi file ini tetap ikut terbawa dalam set backup lama dan arsip yang dikirim orang lain ke Anda. Menyaring berdasarkan ekstensi file tidak akan menangkap ini: payloadnya ada di dalam file .rev yang terlihat normal, dan gateway yang hanya memeriksa "apakah ini .zip atau .rar" akan meloloskan file pendamping itu. WinRAR juga tidak punya auto-update, jadi perbaikan yang dirilis hari ini bisa tidak terpasang tanpa batas waktu kecuali seseorang menginstalnya sendiri secara manual.
Apa yang Harus Dilakukan dengan File Anda Sekarang
- Update WinRAR desktop secara manual. Cek versi Anda di "About WinRAR," lalu unduh versi 7.23 atau lebih baru dari situs resmi jika Anda masih pakai versi lama - perbaikan ini tidak akan datang sendiri.
- Lewati perbaikan pada set multi-volume yang tidak terduga. Jika bundel .rar/.r00/.rev datang dari seseorang yang tidak Anda kenal, jangan jalankan "Repair archive" atau uji recovery pada file itu sampai Anda bisa memastikan pengirimnya.
- Gunakan alat berbasis browser untuk ZIP biasa. Mengekstrak atau membuat arsip - bukan memperbaiki set RAR yang rusak - bisa dilakukan lewat alat unzip online dan pembuat ZIP online, tanpa perlu instal apa pun di komputer.
- Masih perlu RAR atau 7z? Panduan memilih cara ekstrak file membahas opsi paling aman untuk setiap format; perbandingan format arsip menjelaskan kenapa RAR butuh aplikasi khusus sementara ZIP tidak.
Sources
- RARLAB / win-rar.com - rilis WinRAR 7.23 Final (sumber utama, 30 Juni 2026)
- Catatan kerentanan CVE-2026-14191 - penulisan heap out-of-bounds pada parser recovery-volume RAR5
- Cyber Security News - WinRAR 7.23 Fixes Heap Overflow Vulnerability that Leads to Application Crashes
- Malwarebytes - WinRAR flaw could allow attackers to take control of your computer