Názory k článku
Závažná zranitelnost WinRAR ve Windows
-
Filip JirsákStříbrný podporovatelTa otázka nedává moc smysl. Přece aktualizujete veškerý software, takže až autoři aplikací používající tu knihovnu nebo kód vydají opravu, nainstalujete jí. Dokud opravu nevydají, stejně s tím asi nic neuděláte, sám to opravovat nebudete.
-
ChatGPT říká:
1. Správci archivůTotal Commander (plugin UnRAR pro vestavěný prohlížeč/rozbalování)
FreeCommander (interní rozbalování RAR)
Double Commander (Windows buildy často obsahují unrar.dll)
2. Multimediální přehrávače a organizéry
Kodi (dříve XBMC – pro přístup k videím uvnitř RAR souborů)
Media Player Classic – Home Cinema (některé buildy pro titulky v RAR)
3. Specializovaný software
Game mod launchery (některé instalátory modů rozbalují RARy přes unrar.dll)
E-book čtečky (např. některé buildy Calibre pro komiksy v CBR, což je RAR)
GIS a CAD aplikace (výjimečně pro distribuci datových balíčků)
4. Interní použití v instalátorech
NSIS / Inno Setup – pokud balíček obsahuje RAR, může instalátor přibalit unrar.dll a použít ho v postupu instalace.
Pokud potřebujete na svém PC zjistit konkrétně, které programy ji aktuálně používají, jde to přes:
Process Explorer (od Sysinternals) – vyhledat unrar.dll v „Find Find Handle or DLL“
Windows Resource Monitor – sekce „Associated Modules“ po vyfiltrování procesů
PowerShell (dotaz na načtené moduly všech běžících procesů)
-
Filip JirsákStříbrný podporovatel
K čemu je tenhle komentář dobrý? Zeptat se ChatGPT může každý. Smysl by to dávalo, kdybyste tu odpověď prověřil. Resp. aspoň si jí přečetl a pochopil, že informace „mohou to obsahovat různé programy“, do které se ten výstup ChatGPT dá shrnout, je k ničemu.
-
Např. Beyond Compare taky používá unrar.dll
Co se týče Total Commanderu tak v následující verzi 11.56 budou dll aktualizované, ale zatím je verze 11.56 jen RC1. Ale už jsou vydané zvlášť dll pro aktualizaci verze 11.55 tu:
https://www.ghisler.com/mailing.htm
https://www.totalcommander.ch/beta/dllupdate1155.zip -
Jo Igor Pavlov a jeste na tom makaji Cinani, Iranci, jeden Nemec i Bulhari ... proto jke to tak kvalitni SW ;-) a RAR je rusky a proto byl tez nejlepsi a nejuspornejsi - jeho hlavni benefit je podpora vice archivu, coz mely jen nektere implementace ZIP ;-) a ARC co to umel taky byl divny, RAR pre prevalcoval vsechny a jako bonus mel super kompresi, presne lidi nehledeli na cas, meli diskety a RAR umel snadno udelat archiv o presne velikosti ... byly program,y, co musely jet na disketu a az jim doslo misto, pozadali o dalsi,. ale na disku to udelat neumeli, RAR to umel vsude ... ARC myslim taky
Vyvoj byl jasny LZO, ARC, ZIP ... nejdrive se program vesel zkoprimovany na 1 disketu, pak na vice, ale resilo se to ruznim rozdelenim programu, takze se pak vse musel;o sesypat do jednoho adr - no pak to lidi nebavilo a hlavne vznikaly dataove soubory, casto her, ktere byly vetsi nez disketa - a zde prisel ARC a pak jej prevalcoval RAR nebot fungoval mnohem lepe, lepsi komprese, rychlejsi dekomprese, revolucni kompresni pomery, sifrovani, kontrolni soucty a kupa super veci.
mal,o kdo to vi, ale fiskty byly spolehliove, ja mel jen ty lepsi a znackove FDD - soubory ve skutecnosti mrsily win95, jeste vice98 a uplne jevice NT a catsecne i w2000 ... kldyz jste kopirovali diskety na MS DOS - i shozene win95 , OS/2 nebo Linux, tak nebyl problem
ja delal jen na OS/2 a Linuxu ... a nejdrive jsem mel MS dos boot a ztoho jsme kopiroval, v dobe CD jsme jsme mel linux co bootval linux a od kamose co mel win98 jsme to kopcil pres linux nebo freedos etc. a nemel jsme pak jedinou vadnou disketu ...
Ale RAR prave umel za cenu o 10% vetsiho archivu kontrolni soucty a vadne bloky umel opravit a hlavne preskocit a zkusit pokracovat dale ... to dost lidi milovali, nebot z 10 diskte win98 vzdy min jednu zmrsily, casto i vice ... ja treba kopiroval 30 diskte a ani jedna vadna, nikdy ... kdyz uz byla vadna, tak byla fakt vadna, ne ze ji pak prepisu a zse rika, ze je OK -- tedy jasna SW chyba a ne HW ... zkladem byla znakova mechanika, idelne toshiba, sony, tec etc. a dsikety BASF nebo MAXELL byly i TDK a 3M byly tez OK ... levne smejdy blbly, ty jsem nevlastnil.
-
"Vyvoj byl jasny LZO, ARC, ZIP" nebyl myšlen ARJ? Vím, že ARC v té době existoval, ale vůbec jsem se s ním nesetkal. I když ARJ v této posloupnosti by byl až po ZIP. Ale možná jsem byl v té době na ARC moc mladý :D. Na co se používal LZO? Nebyl jen na archvaci na pásky?
ARJ byl pro mne nej kvůli kompresnímu poměru, hlavně automatické detekci velikosti média (diskety) a dělení archívu. Myslím parametr -va. -
FíkZlatý podporovatelNepoužívá ten 7zip zranitelnou knihovnu UnRAR.dll?
Kromě toho má 7zip taky nějaký menší problém se symbolickými linky: https://sourceforge.net/p/sevenzip/discussion/45797/thread/da14cd780b/
-
Filip JirsákStříbrný podporovatel
K čemu je to dobré v roce 2025? Není daleko lepší udělat prostě dvě kopie toho archivu?
Chápu, že tohle mělo smysl v 90. letech, když to člověk nahrál na disketu a vezl to někam hodinu, radši trochu zvětšil archiv, aby dokázal obnovit data i z chybného sektoru a nemusel jet zase hodinu zpět nahrát to znova. Ale k čemu je to dobré dneska?
-
Protoze i dneska je spousta mist, kde jsou pocitace a nejsou snadno pristupne. Treba kdyz delate "faktory reset" nejakeho zarizeni nekde v tramtarii na stozaru, tak to zarizeni si musi ulozit minimalni konfiguraci, aby se po resetu dokazalo pripojit zpet do site. Kdyz by si udelalo 2 kopie dat, tak staci, aby se v kazde kopii pokazil jeden bit a uz se na misto bude muset poslat technik, kdezto pri vyuziti "redundantnich" algoritmu, si mohu podle vlastnosti pouziteho HW a umisteni volit, z jakych chyb se potrebuji zotavit (pouziji jiny algoritmus pokud ocekavam nahodne bitflipy a jiny pokud ocekavam necitelny sektor) a pak je mi jedno, kde k nim dojde.
-
Takze vam tam chybi out of band access do bootloaderu/preload prostredi kde si treba opravite konfiguracni pamet na dalku? Spatny design nebo levny technik na stozaru? Ze tohle umi uz levny MW spoje nebo BTSky.
Pokud vam to nelita zrovna ve vesmiru tak co je za problem si ulozit nahodne 3 kopie ruzne po pameti k tomu jeste treba proxorovany?
Jednoduse chlapi jednoduse...12. 8. 2025, 14:09 editováno autorem komentáře
-
No dlužno podotknout, že sice takhle to zní sice kostrbatě, ale samoopravné kódy jsou základem všude. ECC, zápis na disk, už dneska naprostý standard, cokoli na placce, ..., filesystémy podporují checksuming, zase požadovat, aby nějaký archivní formát uměl nejen detekovat chybu, ale také se z nich vzpamatovat (nečitelný sektor i bitflip jsou nejvíc common) zase tak mimo není.
-
No tak proste misto X pouzijete Y s trochu mizernejsi kompresi ale se samoopravnym mechanismem a nebudete remcat ze to X nema. Nebo pouzijete kombinaci komponent. Kompromis vs vhodna technologie. Od ceho ti architekti asi jsou ... asi vubec nad temito vecmi nepremysli a cmaraji ve visiu a dostavaji za to velke penize ze...
Je otazka jak dalece chcete jit vs ekonomicky prinos.Jestli u te skatule na stozaru je ten technik porad velmi levny proti praci vyvojaru a QA. Takze pokud nemate hotove a otestovane reseni zvolite treba nejlevnejsi brute force metodu.
Uplne jinak budete premyslet o produktu kde zadny technik nikdy neprijde a budto casem shori v atmosfere nebo ho casem prostrileji castice k nepouzitelnosti. Tam venujete hodne casu viceurovnove ochrane. Tam je bitflip i u radiation hardened komponentBTW:Nemaji uz nahodou i levne embedded flashky vlastni ECC? Nemate nahodou moznost i udelat si jednoduchou ochranu i na datech in transit z flashky? Neresime nahodou problem ktery by mel byt alespon castecne prelozen na "plicni oddeleni" (HW design) ?
-
Filip JirsákStříbrný podporovatel
To je hezká teorie. Akorát vám nevěřím, že zařízení někde v tramtárii na stožáru používá pro načtení minimální konfigurace potřebné po factory resetu zrovna WinRAR.
Pro jistotu zopakuji, že jsem se ptal na užitečnost samoopravného kódu ve WinRAR archivech, ne obecně.
-
K chybám v datech dochází při uploadu nebo stahování z různých cloudů. Ne všude mají to http implementované 100% dobře, jak na straně cloudu, tak na straně klienta. Stalo se mi vícekrát, že stažený soubor byl nakopnutý a po opakovaném stažení už nakopnutý nebyl. Při porovnání se uvnitř vyskytl např. kus vyplněný 00, kus http hlavičky. Nebo nestabilní RAM do toho může vnést občasný bitflip. Proto je dobré to pojistit.
-
Filip JirsákStříbrný podporovatel
Jak často se vám to stalo? A dokázal to WinRAR se svými samoopravnými kódy opravit? Není jednodušší v takovém případě to prostě stáhnout znovu?
-
Nefunguje.
Na toto se dneska používá erasure coding - má v podstatě volitelný poměr toho kolik má existovat redundantních fragmentů - příklad: mám 12 disků a chci 8+4 - to znamená že můžu z těch 12 disků ztratit 4 libovolné a pořád mám data. Problém je totiž v tom, že když disk umře, tak umře...
Toto dnes používá v podstatě každý provider cloud úložiště i SW pro private cloud (minio, atd...)
-
Jenomze to berete jen ty logicke bloky a neuvazujete uz i 8k bloky. 4k vam muzou odpovidat velikosti na urovni HW tak priblizne (plus minus zanedbame ECC/servisni data atd.) u rotacnich pevnych disku.
U SSD jsou ty bloky na HW urovni ve stovkach KB ci spise MB v dnesni dobe.
Takze je to jeste vic k nicemu nez jsme mysleli...13. 8. 2025, 13:13 editováno autorem komentáře
-
a používá Windows 11 vlastní implementaci, nebo tam někde na pozadí taky někde běží unrar?
//edit: vypadá to, že používají https://github.com/libarchive/libarchive/
12. 8. 2025, 00:56 editováno autorem komentáře
-
BobTheBuilderStříbrný podporovatelKdyž chcete, tak aktualizace nainstalovaných programů nejsou problém - stačí (je ve Store) UniGetUI.
12. 8. 2025, 07:42 editováno autorem komentáře
-
BobTheBuilderStříbrný podporovatel
UniGetUI se ale dívá i na chocolatey a další.
Kromě toho se mu dá říct "tohle mi teď neaktualizuj".
Při instalaci (zkuste třeba Thunderbird) si v GUI kliknete na ten požadovaný (jazyk, LTS).
Pro unattended update se winget taky nedá použít, protože některé balíčky (fuj fuj) vyžadují interakci - souhlas s odinstalací předchozí verze a pod. - a na tom to zůstane viset.
