WinRAR突现骇人漏洞,官方:没必要修复

安全 漏洞
WinRAR上周被曝出一个高危安全漏洞,恶意攻击者可以在SFX自解压模块中嵌入特定的HTML代码,从而在用户打开时执行任意代码。

WinRAR上周被曝出一个高危安全漏洞,恶意攻击者可以在SFX自解压模块中嵌入特定的HTML代码,从而在用户打开时执行任意代码。

[[151181]]

Vulnerability Lab和Malwarebytes将此漏洞的危险系数定为9.2(满分为10),认为它十分严重,最新的WinRAR5.21版本也存在,会让5亿多用户面临安全威胁,所以第一时间通知了开发商RARLabs。

但是,RARLabs却并不在乎,在一份官方声明中称:

“恶意攻击者将任何可执行文件伪装成压缩文件,发给用户。仅此一点,就使得讨论SFX文件漏洞毫无用处。在SFX模块中寻找或修复这种漏洞也是没有任何意义的,因为和任何exe文件一样,SFX文件本身对用户的系统而言就是危险的,用户也必须确保SFX文件来自可信赖渠道才能运行它。SFX可以静默运行其中包含的任何可执行文件,这是软件安装所需要的官方功能。”

简单地说,RARLabs认为,任何程序都可以创建、压缩成自解压文件,在解压的时候自动运行,这并不是SFX本身的错。

RARLabs进一步表示:“限制SFX模块里的HTML功能会伤害需要全部功能的合法用户,但无力阻拦恶意攻击者,他们可以使用SFX模块的旧版本、基于UnRAR源代码的自制模块、自己的代码或者可执行文件。我们只能再次提醒用户,运行可执行文件的时候,不管是不是SFX,都要确保来自可信赖渠道。”

嗯是的,不会有任何修复补丁或升级版本,大家要自行承担风险。

责任编辑:蓝雨泪 来源: 网易科技
相关推荐

2010-07-27 16:45:23

诺西TD-LTE

2024-02-22 10:02:03

单例模式系统代码

2023-01-09 09:08:57

GrantMySQL

2009-04-20 08:46:43

Windows 7微软操作系统

2021-08-10 23:24:52

iPhone电池手机

2023-10-19 11:41:14

2023-11-17 11:29:28

2023-12-26 16:29:15

2021-08-16 15:53:52

Steam漏洞改余额

2012-01-27 22:02:06

2021-05-19 16:18:58

iOS苹果系统

2021-10-24 08:24:34

WinRAR远程代码漏洞

2023-12-26 12:09:32

2019-01-02 07:50:02

程序员技能代码

2010-03-12 16:19:11

Safari漏洞修复

2023-08-25 13:47:53

2021-10-31 14:51:02

WinRAR漏洞攻击

2021-10-09 06:42:43

Windows 11WinRAR微软

2009-03-04 09:43:14

卡巴斯基张立申市场份额

2009-02-09 09:35:20

点赞
收藏

51CTO技术栈公众号