WinRAR遭爆有严重安全漏洞,官方回应:那是必要功能不算漏洞
来自伊朗的独立安全研究员Mohammad Reza Espargham透过资安邮件论坛
Full disclosure揭露了WinRAR中SFX模组的一项重大安全漏洞,该漏洞允许
骇客远端执行恶意程式,目前尚无CVE编号。不过,WinRAR却不认为这是个
安全漏洞,认为没有修补的必要。
WinRAR为一支援Windows的档案压缩管理软件,能将档案压缩成RAR或ZIP格
式,也能解开不同格式的压缩档。它还有支援Android的程式,以及支援
Linux、FreeBSD与Mac OS X的命令列版本,估计全球用户数已超过5亿。目
前最新的正式版为今年2月发表的WinRAR 5.21,并正在测试WinRAR 5.30。
据Espargham说明,WinRAR SFX 5.21正式版中含有一个远端程式执行漏洞,
该漏洞存在于“文字与图示”功能中的“Text to display in SFX
window”模组中,骇客在产生自己的SFX档案时可借此嵌入恶意程式码,只
要使用者开启恶意的SFX档就能触发攻击行动。
而在使用者端,只要开启恶意档案就马上遭受攻击,无需其他互动或高级权
限,Espargham亦已公布针对此一漏洞的概念性攻击程式。
SFX的全名为self-extracting(自解压缩档),这也是一个执行档,不需其
他软件就能自行解压缩,除了含有压缩档案之外,也内含许多可自动执行的
解压缩指示,以协助使用者将档案放置在正确的位置。
根据资安业者MalwareBytes的说明,骇客在建立SFX档案时,可在Text to
display in SFX window中加入HTML语法,使用者开启SFX时就会执行该语
法。
WinRAR很快便提出说明指出,举凡是执行档都有潜在的危险,WinRAR的SFX
档案跟其他的执行档并无不同,使用者都必须确保执行档来源的可信度。
WinRAR认为,使用者并不容易判断SFX档案中可执行的部份是来自于WinRAR
的SFX模组或是其他程式码,任何恶意程式都能嵌入到SFX档案夹(archive)
的执行模组中并传送给使用者,所以讨论SFX档案的漏洞是没有意义的。
WinRAR还说,限制SFX模组的HTML功能只会伤害到正规使用者,但对于防治
坏人却一点作用也没有。就算修补这类漏洞亦无太大帮助,因为SFX就像任
何执行档一样,皆具备潜在的安全风险,而且SFX的自动执行能力是安装软
体所需的官方功能。WinRAR也表示,我们只能提醒使用者,要开启任何执行
档时,包括SFX,一定要确定是来自可靠来源的档案。(编译/陈晓莉)
iThome
http://www.ithome.com.tw/news/99052
心得
所以这个漏洞是被绕过去的吗?