WinRAR遭爆有嚴重安全漏洞,官方回應:那是必要功能不算漏洞
來自伊朗的獨立安全研究員Mohammad Reza Espargham透過資安郵件論壇
Full disclosure揭露了WinRAR中SFX模組的一項重大安全漏洞,該漏洞允許
駭客遠端執行惡意程式,目前尚無CVE編號。不過,WinRAR卻不認為這是個
安全漏洞,認為沒有修補的必要。
WinRAR為一支援Windows的檔案壓縮管理軟體,能將檔案壓縮成RAR或ZIP格
式,也能解開不同格式的壓縮檔。它還有支援Android的程式,以及支援
Linux、FreeBSD與Mac OS X的命令列版本,估計全球用戶數已超過5億。目
前最新的正式版為今年2月發表的WinRAR 5.21,並正在測試WinRAR 5.30。
據Espargham說明,WinRAR SFX 5.21正式版中含有一個遠端程式執行漏洞,
該漏洞存在於「文字與圖示」功能中的「Text to display in SFX
window」模組中,駭客在產生自己的SFX檔案時可藉此嵌入惡意程式碼,只
要使用者開啟惡意的SFX檔就能觸發攻擊行動。
而在使用者端,只要開啟惡意檔案就馬上遭受攻擊,無需其他互動或高級權
限,Espargham亦已公布針對此一漏洞的概念性攻擊程式。
SFX的全名為self-extracting(自解壓縮檔),這也是一個執行檔,不需其
他軟體就能自行解壓縮,除了含有壓縮檔案之外,也內含許多可自動執行的
解壓縮指示,以協助使用者將檔案放置在正確的位置。
根據資安業者MalwareBytes的說明,駭客在建立SFX檔案時,可在Text to
display in SFX window中加入HTML語法,使用者開啟SFX時就會執行該語
法。
WinRAR很快便提出說明指出,舉凡是執行檔都有潛在的危險,WinRAR的SFX
檔案跟其他的執行檔並無不同,使用者都必須確保執行檔來源的可信度。
WinRAR認為,使用者並不容易判斷SFX檔案中可執行的部份是來自於WinRAR
的SFX模組或是其他程式碼,任何惡意程式都能嵌入到SFX檔案夾(archive)
的執行模組中並傳送給使用者,所以討論SFX檔案的漏洞是沒有意義的。
WinRAR還說,限制SFX模組的HTML功能只會傷害到正規使用者,但對於防治
壞人卻一點作用也沒有。就算修補這類漏洞亦無太大幫助,因為SFX就像任
何執行檔一樣,皆具備潛在的安全風險,而且SFX的自動執行能力是安裝軟
體所需的官方功能。WinRAR也表示,我們只能提醒使用者,要開啟任何執行
檔時,包括SFX,一定要確定是來自可靠來源的檔案。(編譯/陳曉莉)
iThome
http://www.ithome.com.tw/news/99052
心得
所以這個漏洞是被繞過去的嗎?