WinRAR突现骇人漏洞,官方:没必要修复
WinRAR上周被曝出一个高危安全漏洞,恶意攻击者可以在SFX自解压模块中嵌入特定的HTML代码,从而在用户打开时执行任意代码。
Vulnerability Lab和Malwarebytes将此漏洞的危险系数定为9.2(满分为10),认为它十分严重,最新的WinRAR5.21版本也存在,会让5亿多用户面临安全威胁,所以第一时间通知了开发商RARLabs。
但是,RARLabs却并不在乎,在一份官方声明中称:
“恶意攻击者将任何可执行文件伪装成压缩文件,发给用户。仅此一点,就使得讨论SFX文件漏洞毫无用处。在SFX模块中寻找或修复这种漏洞也是没有任何意义的,因为和任何exe文件一样,SFX文件本身对用户的系统而言就是危险的,用户也必须确保SFX文件来自可信赖渠道才能运行它。SFX可以静默运行其中包含的任何可执行文件,这是软件安装所需要的官方功能。”
简单地说,RARLabs认为,任何程序都可以创建、压缩成自解压文件,在解压的时候自动运行,这并不是SFX本身的错。
RARLabs进一步表示:“限制SFX模块里的HTML功能会伤害需要全部功能的合法用户,但无力阻拦恶意攻击者,他们可以使用SFX模块的旧版本、基于UnRAR源代码的自制模块、自己的代码或者可执行文件。我们只能再次提醒用户,运行可执行文件的时候,不管是不是SFX,都要确保来自可信赖渠道。”
嗯是的,不会有任何修复补丁或升级版本,大家要自行承担风险。
作者:安全牛
来源:51CTO
WinRAR突现骇人漏洞,官方:没必要修复相关推荐
- 「屋漏偏逢连夜雨」,Log4j 漏洞还没忙完,新的又来了
整理 | 郑丽媛.禾木木 出品 | CSDN 这几天,Apache Log4j 2 绝对是众多 Java 程序员提到的高频词之一:由于 Apache Log4j 2 引发的严重安全漏洞,令一大批安全人 ...
- 安全课堂|关于小程序AppSecret密钥泄露漏洞官方
原文链接:https://developers.weixin.qq.com/community/minihome/doc/0004a84fcb0bb0e89eddbaa5156401 安全课堂|关于小 ...
- 有目标的人奔跑,没目标的人流浪
有目标的人奔跑,没目标的人流浪: 有目标的人在感恩,没目标的人在抱怨: 有目标的人睡不着,没目标的人睡不醒: 给人生一个梦,给梦一条路,给路一个方向: 跌倒了要学会自己爬起来,受伤了要学会自己疗伤: ...
- 环境变了,很多人却还没意识到。。
阅读本文大概需要 3.1 分钟. 2019 开年相信大家就听到一些不太乐观的消息了,如: 滴滴宣布裁员 15% 涉及员工超 2000 人. 京东宣布 2019 年将末位淘汰 10% 的副总裁级别以上的 ...
- 腾讯服务器漏洞修复,腾讯安全玄武实验室提交Apache Dubbo高危漏洞,官方已发布修复版本...
原标题:腾讯安全玄武实验室提交Apache Dubbo高危漏洞,官方已发布修复版本 6月23号,开源框架Apache Dubbo披露了一项默认反序列化远程代码执行漏洞(CVE-2020-1948)和相 ...
- 预防xml注入漏洞攻击_预防性编程-漏洞发生前如何修复
预防xml注入漏洞攻击 by Kurt 由库尔特 福尔摩斯(Sherlock Holmes)本来是个出色的程序员 (Sherlock Holmes would have been a brillian ...
- Polkit权限提升漏洞(CVE-2021-4034)利用及修复
Polkit本地权限提升漏洞(CVE-2021-4034)利用及修复 文章目录 Polkit本地权限提升漏洞(CVE-2021-4034)利用及修复 漏洞说明 危害等级 影响版本 修复版本 漏洞利用 ...
- 20145330 《网络对抗》 Eternalblue(MS17-010)漏洞复现与S2-045漏洞的利用及修复
20145330 <网络对抗> Eternalblue(MS17-010)漏洞利用工具实现Win 7系统入侵与S2-045漏洞的利用及修复 加分项目: PC平台逆向破解:注入shellco ...
- linux缓存文件用户权限错误,CVE-2019-11244漏洞到底该如何修复?--关于缓存文件权限设置...
2019年5月,Kubernetes社区(后面简称"社区")修复了标号为CVE-2019-11244的安全漏洞,这个修复方案似乎并不彻底,于是有人发布Issue对此提出异议,希望提 ...
最新文章
- 哪个瞬间让你突然觉得CV技术真有用?
- golang指针与c指针的异同
- Python 3 利用机器学习模型 进行手写体数字检测
- java 发送邮件昵称_javaMail发送邮件设置发件人中文昵称
- html js坐标图,javascript – HTML5 Canvas沿着带坐标的路径拖动图像
- 前端学习(2928):昨日回顾
- Hive报错:Hive JDBC:Permission denied: user=anonymous, access=EXECUTE, inode=”/tmp”
- 安卓 App 库存系统开发 终端设备 SDK 分析
- 两个可用的ntp服务器地址
- java多线程调度_Java多线程:生命周期,实现与调度
- attachEvent方法绑定事件
- Mybatis对Double类型的字符串进行范围查询
- 2003服务器系统密匙,windows server 2003 安装密钥
- lintcode1485. 圣杯咒语
- 看 SICP 不如先看 The Little Schemer
- 三维GIS与游戏引擎的跨界融合,打造数字化孪生的平行世界
- labview与PLC通讯
- 如何在苹果iPhone或iPad上启用SSL证书
- ubuntu下深度启动盘制作工具
- vue 和 react的对比
热门文章
- 什么是数字认证?数字认证原理是什么?
- [Realtek sdk3.4.14b] RTL8197FH-VG设备启动之后,2.4G WiFi始终工作在20M 11g模式问题处理
- dem生成等高线教程-dem提取等高线教程
- Anaconda Navigator卡logo打不开闪退问题处理方案-更换阿里云镜像源
- 中小企业掀起“减碳潮”,“上云”提高产品绿色竞争力
- 为什么要申报绿色工厂?
- VxWorks中tornado2.2中的编译器支持哪个C语言标准,有哪些标准库?
- LaTex学习笔记——目录的制作
- 生产者-消费者-管程法(java代码示例)
- 【玖哥乱弹】神通广大的JavaScript