设为首页收藏本站我的广告

运维网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
总共321条微博

每日一博

查看: 557|回复: 0

【站长推荐】WinRAR突现骇人漏洞,官方:没必要修复【顶】

[复制链接]

该用户从未签到

yunweicacti 发表于 2015-10-31 14:16:49 | 显示全部楼层 |阅读模式
【重大新闻】 WinRAR上周被曝出一个高危安全漏洞,恶意攻击者可以在SFX自解压模块中嵌入特定的HTML代码,从而在用户打开时执行任意代码。

WinRAR突现骇人漏洞,官方:没必要修复

WinRAR突现骇人漏洞,官方:没必要修复


Vulnerability Lab和Malwarebytes将此漏洞的危险系数定为9.2(满分为10),认为它十分严重,最新的WinRAR5.21版本也存在,会让5亿多用户面临安全威胁,所以第一时间通知了开发商RARLabs。

但是,RARLabs却并不在乎,在一份官方声明中称:
“恶意攻击者将任何可执行文件伪装成压缩文件,发给用户。仅此一点,就使得讨论SFX文件漏洞毫无用处。在SFX模块中寻找或修复这种漏洞也是没有任何意义的,因为和任何exe文件一样,SFX文件本身对用户的系统而言就是危险的,用户也必须确保SFX文件来自可信赖渠道才能运行它。SFX可以静默运行其中包含的任何可执行文件,这是软件安装所需要的官方功能。”

简单地说,RARLabs认为,任何程序都可以创建、压缩成自解压文件,在解压的时候自动运行,这并不是SFX本身的错。

RARLabs进一步表示:“限制SFX模块里的HTML功能会伤害需要全部功能的合法用户,但无力阻拦恶意攻击者,他们可以使用SFX模块的旧版本、基于UnRAR源代码的自制模块、自己的代码或者可执行文件。我们只能再次提醒用户,运行可执行文件的时候,不管是不是SFX,都要确保来自可信赖渠道。”

嗯,是的,不会有任何修复补丁或升级版本,大家要自行承担风险。

来自群组: 北京运维圈
运维网 感谢您的阅读
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|申请友链|sitemap|手机版|小黑屋|Archiver|运维网 ( 京ICP备16008201号  

GMT+8, 2016-12-4 22:25 , Processed in 0.052015 second(s), 42 queries , Xcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表