WinRAR上周被曝出一个高危安全漏洞,恶意攻击者可以在SFX自解压模块中嵌入特定的HTML代码,从而在用户打开时执行任意代码。

Vulnerability Lab和Malwarebytes将此漏洞的危险系数定为9.2(满分为10),认为它十分严重,最新的WinRAR5.21版本也存在,会让5亿多用户面临安全威胁,所以第一时间通知了开发商RARLabs。

但是,RARLabs却并不在乎,在一份官方声明中称:

“恶意攻击者将任何可执行文件伪装成压缩文件,发给用户。仅此一点,就使得讨论SFX文件漏洞毫无用处。在SFX模块中寻找或修复这种漏洞也是没有任何意义的,因为和任何exe文件一样,SFX文件本身对用户的系统而言就是危险的,用户也必须确保SFX文件来自可信赖渠道才能运行它。SFX可以静默运行其中包含的任何可执行文件,这是软件安装所需要的官方功能。”

简单地说,RARLabs认为,任何程序都可以创建、压缩成自解压文件,在解压的时候自动运行,这并不是SFX本身的错。

RARLabs进一步表示:“限制SFX模块里的HTML功能会伤害需要全部功能的合法用户,但无力阻拦恶意攻击者,他们可以使用SFX模块的旧版本、基于UnRAR源代码的自制模块、自己的代码或者可执行文件。我们只能再次提醒用户,运行可执行文件的时候,不管是不是SFX,都要确保来自可信赖渠道。”

嗯是的,不会有任何修复补丁或升级版本,大家要自行承担风险。

作者:安全牛

来源:51CTO

WinRAR突现骇人漏洞,官方:没必要修复相关推荐

  1. 「屋漏偏逢连夜雨」,Log4j 漏洞还没忙完,新的又来了

    整理 | 郑丽媛.禾木木 出品 | CSDN 这几天,Apache Log4j 2 绝对是众多 Java 程序员提到的高频词之一:由于 Apache Log4j 2 引发的严重安全漏洞,令一大批安全人 ...

  2. 安全课堂|关于小程序AppSecret密钥泄露漏洞官方

    原文链接:https://developers.weixin.qq.com/community/minihome/doc/0004a84fcb0bb0e89eddbaa5156401 安全课堂|关于小 ...

  3. 有目标的人奔跑,没目标的人流浪

    有目标的人奔跑,没目标的人流浪: 有目标的人在感恩,没目标的人在抱怨: 有目标的人睡不着,没目标的人睡不醒: 给人生一个梦,给梦一条路,给路一个方向: 跌倒了要学会自己爬起来,受伤了要学会自己疗伤: ...

  4. 环境变了,很多人却还没意识到。。

    阅读本文大概需要 3.1 分钟. 2019 开年相信大家就听到一些不太乐观的消息了,如: 滴滴宣布裁员 15% 涉及员工超 2000 人. 京东宣布 2019 年将末位淘汰 10% 的副总裁级别以上的 ...

  5. 腾讯服务器漏洞修复,腾讯安全玄武实验室提交Apache Dubbo高危漏洞,官方已发布修复版本...

    原标题:腾讯安全玄武实验室提交Apache Dubbo高危漏洞,官方已发布修复版本 6月23号,开源框架Apache Dubbo披露了一项默认反序列化远程代码执行漏洞(CVE-2020-1948)和相 ...

  6. 预防xml注入漏洞攻击_预防性编程-漏洞发生前如何修复

    预防xml注入漏洞攻击 by Kurt 由库尔特 福尔摩斯(Sherlock Holmes)本来是个出色的程序员 (Sherlock Holmes would have been a brillian ...

  7. Polkit权限提升漏洞(CVE-2021-4034)利用及修复

    Polkit本地权限提升漏洞(CVE-2021-4034)利用及修复 文章目录 Polkit本地权限提升漏洞(CVE-2021-4034)利用及修复 漏洞说明 危害等级 影响版本 修复版本 漏洞利用 ...

  8. 20145330 《网络对抗》 Eternalblue(MS17-010)漏洞复现与S2-045漏洞的利用及修复

    20145330 <网络对抗> Eternalblue(MS17-010)漏洞利用工具实现Win 7系统入侵与S2-045漏洞的利用及修复 加分项目: PC平台逆向破解:注入shellco ...

  9. linux缓存文件用户权限错误,CVE-2019-11244漏洞到底该如何修复?--关于缓存文件权限设置...

    2019年5月,Kubernetes社区(后面简称"社区")修复了标号为CVE-2019-11244的安全漏洞,这个修复方案似乎并不彻底,于是有人发布Issue对此提出异议,希望提 ...

最新文章

  1. 哪个瞬间让你突然觉得CV技术真有用?
  2. golang指针与c指针的异同
  3. Python 3 利用机器学习模型 进行手写体数字检测
  4. java 发送邮件昵称_javaMail发送邮件设置发件人中文昵称
  5. html js坐标图,javascript – HTML5 Canvas沿着带坐标的路径拖动图像
  6. 前端学习(2928):昨日回顾
  7. Hive报错:Hive JDBC:Permission denied: user=anonymous, access=EXECUTE, inode=”/tmp”
  8. 安卓 App 库存系统开发 终端设备 SDK 分析
  9. 两个可用的ntp服务器地址
  10. java多线程调度_Java多线程:生命周期,实现与调度
  11. attachEvent方法绑定事件
  12. Mybatis对Double类型的字符串进行范围查询
  13. 2003服务器系统密匙,windows server 2003 安装密钥
  14. lintcode1485. 圣杯咒语
  15. 看 SICP 不如先看 The Little Schemer
  16. 三维GIS与游戏引擎的跨界融合,打造数字化孪生的平行世界
  17. labview与PLC通讯
  18. 如何在苹果iPhone或iPad上启用SSL证书
  19. ubuntu下深度启动盘制作工具
  20. vue 和 react的对比

热门文章

  1. 什么是数字认证?数字认证原理是什么?
  2. [Realtek sdk3.4.14b] RTL8197FH-VG设备启动之后,2.4G WiFi始终工作在20M 11g模式问题处理
  3. dem生成等高线教程-dem提取等高线教程
  4. Anaconda Navigator卡logo打不开闪退问题处理方案-更换阿里云镜像源
  5. 中小企业掀起“减碳潮”,“上云”提高产品绿色竞争力
  6. 为什么要申报绿色工厂?
  7. VxWorks中tornado2.2中的编译器支持哪个C语言标准,有哪些标准库?
  8. LaTex学习笔记——目录的制作
  9. 生产者-消费者-管程法(java代码示例)
  10. 【玖哥乱弹】神通广大的JavaScript