![老牌压缩软件WinRAR曝出高危漏洞:可执行任意代码]( "老牌压缩软件WinRAR曝出高危漏洞:可执行任意代码")
WinRAR是一款广为人知的老牌压缩软件,其最早诞生于1993年。在狗哥印象中,第一次使用WinRAR也能追溯到2001年。早在大学时代,狗哥帮多位同学维护电脑时就曾发现,基本上每位同学的电脑上都少不了WinRAR。
![老牌压缩软件WinRAR曝出高危漏洞:可执行任意代码]( "老牌压缩软件WinRAR曝出高危漏洞:可执行任意代码")
WinRAR好用且装机广泛,自然也成为不法黑客的攻击目标。因此,其曝出的漏洞也是源源不断。尤其是近几个月,WinRAR被连续曝光两个高危漏洞。
第一个高危漏洞是8月19日,网络安全研究机构Zero Day Initiative(ZDI)发布公告,其旗下安全研究专家Goodbyeselene在WinRAR软件中发现了一处高危漏洞,该漏洞的追踪编号为CVE-2023-40477。
![老牌压缩软件WinRAR曝出高危漏洞:可执行任意代码]( "老牌压缩软件WinRAR曝出高危漏洞:可执行任意代码")
ZDI发布的安全公告称,该漏洞的CVSS评分为7.8分(满分为10分,分数越高表示破坏力越大),黑客可以利用该漏洞创建RAR文件,受害者一旦解压该文件,系统就会被感染,黑客就能远程执行任意代码,从而威胁用户隐私和数据的安全。
据谷歌的威胁分析小组(TAG)透露,网络犯罪组织在2023年初就已经开始利用这个漏洞,当时防御者根本还不知道这个漏洞的存在。
据悉,该漏洞是由于WinRAR使用了一个过时的动态链接库UNACEV2.dll所导致的。该动态链接库在2006年就已经编译,没有任何的基础保护机制(如ASLR、DEP等)。黑客可以利用该动态链接库中的一个缓冲区溢出漏洞,构造特殊的RAR压缩文件,当用户使用WinRAR解压该文件时,就会触发漏洞,并执行黑客嵌入的恶意代码。
好在Goodbyeselene已于6月8日向RARLAB报告了该漏洞,随后官方于8月2日发布了6.23版本更新,已经修复了上述漏洞。
![老牌压缩软件WinRAR曝出高危漏洞:可执行任意代码]( "老牌压缩软件WinRAR曝出高危漏洞:可执行任意代码")
但好景不长,近日,WinRAR又被曝光出一个高危漏洞,该漏洞编号为 CVE-2023-38831。
这个漏洞同样可以让黑客利用恶意文件在用户的电脑上执行任意代码。通俗来说就是可以让黑客在用户打开恶意的RAR压缩包时,在其电脑上运行任意代码,从而造成数据泄露、系统损坏或者远程控制等后果。
攻击者的具体手法是,将一个看似无害的文件(如 PNG 图片)放在一个 ZIP 压缩包中,并通过WinRAR打开。由于Windows系统在处理带有空格的文件名时存在一个错误,导致WinRAR会执行压缩包中的恶意代码。
谷歌的更新说明中写道:“当用户在 WinRAR 的界面上双击一个名为‘poc.png_’(下划线表示空格)的文件时,6.23 版本之前的 WinRAR 会执行‘poc.png_/poc.png_.cmd’。”
据谷歌的威胁分析小组(TAG)透露,已有多个网络犯罪组织开始利用这个漏洞进行攻击活动。目前,WinRAR 已经发布了修复补丁,发布了6.24版本,但由于WinRAR不会自动更新,所以大量用户尚未及时更新其软件版本,因此谷歌强烈建议WinRAR用户们手动更新软件。
ZDI表示,他们也向微软提交了该漏洞的相关信息,并希望微软能够在其Windows Defender和其他安全产品中,增加对该漏洞的检测和防护能力。
现实中,我们普通用户的网络安全,并不能完全依赖于安全厂商以及软件开发者,与我们的使用习惯也息息相关。比如我们在打开不明来源或不可信的压缩文件时,务必要格外小心,以免落入不法黑客的陷阱之中。
原文始发于微信公众号(安在):老牌压缩软件WinRAR曝出高危漏洞:可执行任意代码
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2146159.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论