作为一款流行的文件压缩/解压缩工具,最新版本的WinRAR(5.21)却曝出了一个危险的远程代码执行漏洞。Vulnerability Lab的Mohammad Reza Espargham发现了这个bug,并且得到了Malwarebytes公司Pieter Arntz的证实。当打开一个SFX文件(自解压文档)的时候,该漏洞允许攻击者远程在用户计算机上执行代码。
根据公开的漏洞信息,这个bug似乎只影响最新的5.21版本,但已足够那些狡猾的攻击者在新建SFX文档时在“Text to display in SFX window”里面放置恶意HTML代码。
在向受害者发送该文档之后,恶意代码会在文件被打开时执行。根据攻击者的技能,可以向系统、网络或设备进行渗透或发起攻击。
更糟糕的是,利用此漏洞时并不需要在目标机器上获取特殊权限。鉴于每天都有大量用户通过RAR和自解压(SFX)文件进行交互,黑客们的野外利用率想必会相当之高。(下面即使概念验证视频)
WinRaR SFX - Remote Code Execution
如果你是WinRAR的粉丝,并且已经安装了最新的5.21版本,还请留意官网发布的修复更新(或者安装暂不受影响的旧版本 / 最新的测试版本)。
[编译自:Soft Pedia , 来源:SecLists.org]