Goed besluit. Men had ook kunnen besluiten om een eigen, open source, versie van de ACE-compressie te maken (mits mogelijk i.v.m. copyright). Voor een $100k zijn er heel wat getalenteerde programmeurs die aan de slag gaan.

Nutteloos, daarvoor moeten veel te veel WinRAR licenties worden verkocht.

De genoemde $100k is voor hackers die een lek weten te vinden en dat wordt betaald door een derde partij die zero days verkoopt.

Gelukkig is copyright op een API (of bestandsspecificatie) geen beperking om zelf een parser te maken (in tegenstelling tot in de Verenigde Staten, zie Oracle vs. Google).

In het geval van WinRAR lijkt het te gaan om alleen decompressie. Er zijn meerdere vrije implementaties van UnACE, waaronder:
AceFile https://www.roe.ch/acefile - leest Ace 1.0- en 2.0-archieven
unace 1.0 http://http.debian.net/debian/pool/main/u/unace/unace_1.2b.orig.tar.gz - GPLv2 - Debian source
unace 2.0 http://http.debian.net/debian/pool/non-free/u/unace-nonfree/unace-nonfree_2.5.orig.tar.gz - Public UnAce License - Debian non-free source

Maar is het waard om $ 100k uit te gaan geven voor ondersteuning van een archiefformaat wat nauwelijks nog gebruikt wordt?

Dat is inderdaad een goed punt maar je zou kunnen besluiten om alleen een lees/unpack-optie te implementeren.

Lees nog eens? "en het WinRAR-team geen toegang tot de broncode heeft"
ACE is proprietary software dus helaas.

Eens.

Eerlijk gezegd was mij het ACE archief formaat totaal onbekend en ik zit al bijna 20 jaar in de ICT.

De tweede en derde die je noemt zijn van de maker van WinACE, en dat lijkt ook te zijn wat in WinRAR gebruikt is. Het zou, gezien de licentie en de ondersteunde ACE-versies, de derde kunnen zijn. De functie GetDevicePathLen die Check Point beschrijft zit erin, maar de functie CleanPath die ze noemen niet. De versie die WinRAR gebruikt bevat dus al een poging de kwetsbaarheid te repareren, maar die is niet goed genoeg.

Verder ontbreekt een make-file voor de DLL in de broncode die Debian levert. De root-directory na uitpakken van de broncode heeft een datum in 2005, hetzelfde jaar als het artikel noemt, maar de broncode zelf stamt uit 2000-2003 en is dus ouder. Het lijkt erop dat men bij WinRAR over meer broncode kan beschikken dan men misschien beseft, al lijkt het niet de nieuwste te zijn. Maar het is de vraag of dit formaat nog veel inspanning waard is, natuurlijk.

De gevonden path traversal-bug beperkt zich niet tot WinRAR maar zal in alle code zitten die op de WinACE-implementaties gebaseerd is. Inclusief het pakket in Debian.

PS. Je noemde het alle drie vrije implementaties. Alleen de tweede, met GPLv2 als licentie, is vrije software volgens de definitie van de Free Software Foundation. De Python-implementatie uit je eerste link gebruikt een BSD-licentie (wel open source, niet vrij) en de derde heeft een licentie waarvan ik ernstig betwijfel of die aan de definities van vrije of open source-software voldoet. Debian plaatst hem niet voor niets in non-free.

Ik heb in 20 jaar nog nooit ACE gebruikt, dus zal het ook niet missen.

Betwijfel of dat nog gebruikt word,. online zie je alleen .zip - en heel af en toe eens een .rar bestand.
Vaak ook nog wel .exe or tar.gz