WinRAR 是不少 PC 用戶都會安裝的壓縮/解壓縮軟件,不過剛剛就被發現存在重大漏洞,不小心開啟經過改造的 RAR 檔會執行任意程式。WinRAR 已經釋出更新版本 6.23 修正有關漏洞,用戶應該立即更新。
有關的漏洞編號 CVE-2023-40477,問題是出於處理恢復卷號程序時,沒有正確驗證用戶提交的數據,導致可存取記憶體超過已分配緩衝區的末端,黑客可以利用這漏洞來執行任意程式碼。雖然由於要誘騙用戶開啟檔案才能發動攻擊,所以 CVSS 只有 7.8 分,不過由於 WinRAR 是相當普遍的應用,而很多軟件和電子書都是以 RAR 來壓縮,增加了中伏的機會。
研究人員 6 月初通知 WinRAR 的開發公司 RARLAB 有關漏洞,而修正版本就在本月初釋出。由於有網上報告懷疑有人在本地社交平台利用這個漏洞來騙取帳戶登入資料,大家應該立即更新 WinRAR,以防自動開啟會誤觸漏洞。
其實除了 WinRAR 之外,7-ZIP 亦可以解壓 RAR 檔。另外,Microsoft 亦已準備在下一次 Windows 11 重大功能更新中加入對 RAR、7-Zip 及 GZ 壓縮檔的原生支援,相信將來 WinRAR 的應用機會逐步減少。