告诫：WinRAR要害裂痕影响已往19年宣布的全部版本

Windows用户要当心了!

各人装机必备软件WinRAR出题目了，收集安详研究职员在WinRAR软件中发明白一个新的高危长途代码执行裂痕，该裂痕将影响环球数亿用户。据Check Point的收集安详研究职员披露了WinRAR作为Windows平台下的压缩措施中，存在一个要害裂痕的技能细节，环球有5亿用户将受其影响，将影响已往长达19年宣布的全部软件版本。

该裂痕行使的旧的第三方库(称为UNACEV2.DLL)处理赏罚以ACE数据压缩存档文件名目。因为WinRAR通过文件内容而不是扩展名检测名目，因此进攻者将.ace扩展名变动为.rar扩展名以使其看起来正常。CheckPoint收集安详研究职员暗示WinRAR最新测试版本不再支持ACE存档名目(就是该裂痕的进攻文件)，并且在上个月同时也删除了UNACEV2.dll文件。今朝WinRAR宣布了最新的测试版5.70 Beta1,已经修复了这个题目。

按照研究职员的说法，他们在库中发明白一个“Absolute Path Traversal”错误，该错误可用于在方针体系上执行恣意代码，实行行使软件的易受进攻版本解压缩恶意建造的文件存档。

路径遍历裂痕应承进攻者将压缩文件解压缩到他们选择的文件夹而不是用户选择的文件夹，从而有机遇将恶意代码放入Windows Startup文件夹中，然后在下次从头启动时自动运行。从研究职员共享的视频演示所示，为了完全节制方针计较机，进攻者必要团结收集垂纶进攻说服用户行使WinRAR打开恶意建造的压缩存档文件。

WinRAR团队在2005年丢失了UNACEV2.dll库的源代码，因此抉择从其软件包中删除UNACEV2.dll以修复该题目，并宣布了不支持ACE名目标WINRar版本5.70 beta 1。提议Windows用户尽快安装最新版本的WinRAR，并停止打开从收到的未知来历文件，同时提示各人下载时认清版本，此刻会见WinRAR的官方网站，点击下载的依然是今朝尚未修复裂痕5.61版本。假如你常常行使这款压缩软件，我们引用海内几个安详网站保举的链接下载Beta版本，供各人参考! 记得版本是：5.70 beta 1

下载：https://www.win-rar.com/affdownload/download.php

【编辑保举】

1. 解读2018 OWASP TOP10物联网安详裂痕
2. 《碉堡之夜》现裂痕！Check Point 发明可被黑客偷取玩家帐号、数据与游戏钱币的隐藏伤害
3. 常见六大Web裂痕先容和防止方案
4. 美国囤积零日裂痕的尺度是什么
5. 70%的果真裂痕出自3家供给商

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!