WinRAR遭爆有严重安全漏洞,官方回应:那是必要功能不算漏洞
WinRAR官方回应指出,任何恶意程式都能嵌入到SFX archive的执行模组中并传送给使用者,所以讨论SFX档案的漏洞是没有意义的。WinRAR还说,限制SFX模组的HTML功能只会伤害到正规使用者,但对于防治坏人却一点作用也没有。
来自伊朗的独立安全研究员Mohammad Reza Espargham透过资安邮件论坛Full disclosure揭露了WinRAR中SFX模组的一项重大安全漏洞,该漏洞允许骇客远端执行恶意程式,目前尚无CVE编号。不过,WinRAR却不认为这是个安全漏洞,认为没有修补的必要。
WinRAR为一支援Windows的档案压缩管理软体,能将档案压缩成RAR或ZIP格式,也能解开不同格式的压缩档。它还有支援Android的程式,以及支援Linux、FreeBSD与Mac OS X的命令列版本,估计全球用户数已超过5亿。目前最新的正式版为今年2月发表的WinRAR 5.21,并正在测试WinRAR 5.30。
据Espargham说明,WinRAR SFX 5.21正式版中含有一个远端程式执行漏洞,该漏洞存在于「文字与图示」功能中的「Text to display in SFX window」模组中,骇客在产生自己的SFX档案时可藉此嵌入恶意程式码,只要使用者开启恶意的SFX档就能触发攻击行动。
而在使用者端,只要开启恶意档案就马上遭受攻击,无需其他互动或高级权限,Espargham亦已公布针对此一漏洞的概念性攻击程式。
SFX的全名为self-extracting(自解压缩档),这也是一个执行档,不需其他软体就能自行解压缩,除了含有压缩档案之外,也内含许多可自动执行的解压缩指示,以协助使用者将档案放置在正确的位置。
根据资安业者MalwareBytes的说明,骇客在建立SFX档案时,可在Text to display in SFX window中加入HTML语法,使用者开启SFX时就会执行该语法。
WinRAR很快便提出说明指出,举凡是执行档都有潜在的危险,WinRAR的SFX档案跟其他的执行档并无不同,使用者都必须确保执行档来源的可信度。
WinRAR认为,使用者并不容易判断SFX档案中可执行的部份是来自于WinRAR的SFX模组或是其他程式码,任何恶意程式都能嵌入到SFX档案夹(archive)的执行模组中并传送给使用者,所以讨论SFX档案的漏洞是没有意义的。
WinRAR还说,限制SFX模组的HTML功能只会伤害到正规使用者,但对于防治坏人却一点作用也没有。就算修补这类漏洞亦无太大帮助,因为SFX就像任何执行档一样,皆具备潜在的安全风险,而且SFX的自动执行能力是安装软体所需的官方功能。WinRAR也表示,我们只能提醒使用者,要开启任何执行档时,包括SFX,一定要确定是来自可靠来源的档案。(编译/陈晓莉)
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
HackerEye
关注网络尖刀微信公众号
