WinRAR突现骇人漏洞 官方:没必要修复

jopen 9年前

原文  http://news.mydrivers.com/1/449/449885.htm

 

WinRAR上周被曝出一个高危安全漏洞, 恶意攻击者可以在SFX自解压模块中嵌入特定的HTML代码 ,从而在用户打开时执行任意代码。

Vulnerability Lab和Malwarebytes将此漏洞的 危险系数定为9.2 (满分为10),认为它十分严重,最新的WinRAR 5.21版本也存在,会让5亿多用户面临安全威胁,所以第一时间通知了开发商RARLabs。

但是,RARLabs却并不在乎,在一份官方声明中称:

“恶意攻击者将任何可执行文件伪装成压缩文件,发给用户。仅此一点,就使得讨论SFX文件漏洞毫无用处。在SFX模块中寻找或修复这种漏洞也是没 有任何意义的,因为和任何exe文件一样,SFX文件本身对用户的系统而言就是危险的,用户也必须确保SFX文件来自可信赖渠道才能运行它。SFX可以静 默运行其中包含的任何可执行文件,这是软件安装所需要的官方功能。”

简单地说,RARLabs认为,任何程序都可以创建、压缩成自解压文件,在解压的时候自动运行,这并不是SFX本身的错。

RARLabs进一步表示:“ 限制SFX模块里的HTML功能会伤害需要全部功能的合法用户,但无力阻拦恶意攻击者 ,他们可以使用SFX模块的旧版本、基于UnRAR源代码的自制模块、自己的代码或者可执行文件。我们只能再次提醒用户,运行可执行文件的时候,不管是不是SFX,都要确保来自可信赖渠道。”

嗯是的,不会有任何修复补丁或升级版本,大家要自行承担风险。

WinRAR突现骇人漏洞 官方:没必要修复

</div>