正文内容 评论(0

WinRAR突现骇人漏洞 官方:没必要修复
2015-10-06 09:37:34  出处:快科技 作者:上方文Q 编辑:上方文Q     评论(0)点击可以复制本篇文章的标题和链接

WinRAR上周被曝出一个高危安全漏洞,恶意攻击者可以在SFX自解压模块中嵌入特定的HTML代码,从而在用户打开时执行任意代码。

Vulnerability Lab和Malwarebytes将此漏洞的危险系数定为9.2(满分为10),认为它十分严重,最新的WinRAR 5.21版本也存在,会让5亿多用户面临安全威胁,所以第一时间通知了开发商RARLabs。

但是,RARLabs却并不在乎,在一份官方声明中称:

“恶意攻击者将任何可执行文件伪装成压缩文件,发给用户。仅此一点,就使得讨论SFX文件漏洞毫无用处。在SFX模块中寻找或修复这种漏洞也是没有任何意义的,因为和任何exe文件一样,SFX文件本身对用户的系统而言就是危险的,用户也必须确保SFX文件来自可信赖渠道才能运行它。SFX可以静默运行其中包含的任何可执行文件,这是软件安装所需要的官方功能。”

简单地说,RARLabs认为,任何程序都可以创建、压缩成自解压文件,在解压的时候自动运行,这并不是SFX本身的错。

RARLabs进一步表示:“限制SFX模块里的HTML功能会伤害需要全部功能的合法用户,但无力阻拦恶意攻击者,他们可以使用SFX模块的旧版本、基于UnRAR源代码的自制模块、自己的代码或者可执行文件。我们只能再次提醒用户,运行可执行文件的时候,不管是不是SFX,都要确保来自可信赖渠道。”

嗯是的,不会有任何修复补丁或升级版本,大家要自行承担风险。

WinRAR突现骇人漏洞 官方:没必要修复

【本文结束】如需转载请务必注明出处:快科技

责任编辑:

  • 支持打赏
  • 支持0

  • 反对

  • 打赏

文章价值打分

当前文章打分0 分,共有0人打分
  • 分享好友:
  • |
本文收录在
#WinRAR#漏洞#安全

  • 热门文章
  • 换一波

  • 好物推荐
  • 换一波

  • 关注我们

  • 微博

    微博:快科技官方

    快科技官方微博
  • 今日头条

    今日头条:快科技

    带来硬件软件、手机数码最快资讯!
  • 抖音

    抖音:kkjcn

    科技快讯、手机开箱、产品体验、应用推荐...