WinRAR 高风险漏洞 打开 RAR 档计算机随时被操控
近日,知名 Windows 压缩工具 WinRAR 修复了一个高风险的漏洞。 该漏洞被标记为 CVE-2023-40477。 这个漏洞最恐布之处就是用户只要打开一个「特制」的 RAR 文件,就能在目标电脑上执行命令。
![WinRAR 高风险漏洞 打开 RAR 档计算机随时被操控](https://www.gameducky.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
这一漏洞是由 Zero Day Initiative 的研究员 “goodbyeselene” 于 2023 年 6 月 8 日发现并报告给 RARLab。
ZDI 网站发布的安全公告指出:「这一特定的漏洞存在于 Recovery volumes 的处理中。 问题源于对用户提供的数据缺乏适当的验证,这可能导致内存访问超出分配的缓冲区。」
虽然攻击者需要诱骗目标打开压缩文件,但从实际角度看,欺骗用户进行所需操作并不困难。 考虑到 WinRAR 的庞大用户群,攻击者有大量的成功利用机会。
为了有效地解决CVE-2023-40477,RARLAB于2023年8月2日发布了WinRAR 6.23版本。 因此,强烈建议 WinRAR 用户立即应用可用的安全更新。
![WinRAR 高风险漏洞 打开 RAR 档计算机随时被操控](https://www.gameducky.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
除了修复 RAR4 的处理代码外,6.23 版本还解决了特制存档导致的文件初始化错误,这也被认为是一个高风险问题。 继续使用 WinRAR 的用户必须保持软件更新,因为过去类似的漏洞被黑客利用来安装恶意软件。
值得一提的是,Microsoft 现在正在 Windows 11 上测试对 RAR、7-Zip 和 GZ 文件的原生支持,所以除非需要其高级功能,否则这一版本不再需要第三方软件如 WinRAR。
赞 (0)
打赏
微信扫一扫
![微信扫一扫](https://www.gameducky.com/wp-content/uploads/2021/12/2021122203132290.jpg)