WinRAR 是不少PC 用户都会安装的压缩/解压缩软件,不过刚刚就被发现存在重大漏洞,不小心开启经过改造的RAR 文件会执行任意程式。WinRAR 已经释出更新版本6.23 修正有关漏洞,用户应该立即更新。
有关的漏洞编号CVE-2023-40477,问题是出于处理恢复卷号程序时,没有正确验证用户提交的数据,导致可存取记忆体超过已分配缓冲区的末端,黑客可以利用这漏洞来执行任意程式码。虽然由于要诱骗用户开启文件案才能发动攻击,所以CVSS 只有7.8 分,不过由于WinRAR 是相当普遍的应用,而很多软件和电子书都是以RAR 来压缩,增加了中毒的机会。
研究人员6 月初通知WinRAR 的开发公司RARLAB 有关漏洞,而修正版本就在本月初释出。由于有网上报告怀疑有人在本地社交平台利用这个漏洞来骗取帐户登入资料,大家应该立即更新WinRAR,以防自动开启会误触漏洞。
其实除了WinRAR 之外,7-ZIP 亦可以解压RAR 文件。另外,Microsoft 亦已准备在下一次Windows 11 重大功能更新中加入对RAR、7-Zip 及GZ 压缩文件的原生支援,相信将来WinRAR 的应用机会逐步减少
评论