预警：WinRAR/Bandizip/360压缩/2345好压等均存在严重安全漏洞

全球知名度最高用户量最大的压缩管理器WinRAR日前被发现严重漏洞，而且是过去数十年的版本都受影响。

[原创文章：www.ii77.com]

据研究人员分析这次出现漏洞的原因本身并不在于WinRAR，而是该软件调用的第三方软件库出现安全问题。 [原创文章：www.ii77.com]

这个软件库自从 2005 年开始就停止更新因此现在想修复也没办法，于是WinRAR直接选择删除这个软件库。

提权并实现恶意软件自启动：

研究人员介绍称借助漏洞可以进行权限提升并把恶意软件放进启动目录，这样系统启动时即可实现自动启动。

待用户重启系统后恶意软件即被运行然后攻击者即可实现完全控制，对于用户来说这种攻击是不需要交互的。

出现问题的主要是WinRAR调用的第三方软件库 UNACEV2 文件，该库是用来提取ACE专有格式的打包文件。

ACE 格式本身是受到专利保护的但是提取并不需要付费，因此WinRAR集成该库实现对ACE专有格式的解压。

WinRAR表示找不到源代码所以直接删除库：

WinRAR官方在接到研究人员的通报后已经着手开始处理，不过处理的方式暂时只能删除这个第三方软件库。

这个第三方软件库由于常年没有更新到现在WinRAR甚至都找不到源代码，因此也没办法进行更新或者修复。

删除后WinRAR不再支持对ACE格式的专有文档进行提取，当然估计现在也没有多少用户还在使用这个格式。

目前在WinRAR官网提供的正式版安装包里尚未删除问题库，不过v5.70 beta测试版里已经删除库确保安全。

建议用户立即升级使用v5.70 beta测试版修复这个漏洞，当然也可卸载换成7z等开源压缩管理器。

下载v5.70 beta测试版：http://win-rar.com/predownload.html?spV=true&f=winrar-x64-57b1tc.exe

注：上述下载链接为WinRAR v5.70 Beta版的繁体中文版本，简体中文版尚未提供因此用户可先用繁体版本。

众多压缩管理器类软件附带ACE库：

在WinRAR被爆出存在严重安全漏洞外蓝点网检查其他压缩管理器，例如Bandizip、360压缩和2345好压等。

这些压缩管理器为支持.ACE格式的压缩文件提取也会内置ACE库，所以也同样受到这次安全漏洞问题的影响。

目前上述软件官网都还没有ACE库问题发布声明，不过当前蓝点网下载的最新版测试都是包括.ACE软件库的。

用户暂时也可以下载7-Zip压缩管理器替代使用，7-Zip新版本早已不支持ACE格式所以里面也没内置ACE库。

ACE库已经有十四年没有更新所以这枚上古漏洞估计也无法修复，WinRAR称将会直接删除.ACE库确保安全。

奔跑吧Linux社区实战死机专题：

全程约5小时高清，140多页ppt，8大实验，基于x86_64的Centos 7.6和arm64，提供全套实验素材和环境。全面介绍kdump+crash在死机黑屏方面的实战应用，全部案例源自线上云服务器和嵌入式产品开发实际案例！看死机黑屏专题，今年薪水翻一番！点击阅读原文按钮了解详情。