全球知名度最高用户量最大的压缩管理器WinRAR日前被发现严重漏洞,而且是过去数十年的版本都受影响。
[原创文章:www.ii77.com]
据研究人员分析这次出现漏洞的原因本身并不在于WinRAR,而是该软件调用的第三方软件库出现安全问题。 [原创文章:www.ii77.com]
这个软件库自从 2005 年开始就停止更新因此现在想修复也没办法,于是WinRAR直接选择删除这个软件库。
提权并实现恶意软件自启动:
研究人员介绍称借助漏洞可以进行权限提升并把恶意软件放进启动目录,这样系统启动时即可实现自动启动。
待用户重启系统后恶意软件即被运行然后攻击者即可实现完全控制,对于用户来说这种攻击是不需要交互的。
出现问题的主要是WinRAR调用的第三方软件库 UNACEV2 文件,该库是用来提取ACE专有格式的打包文件。
ACE 格式本身是受到专利保护的但是提取并不需要付费,因此WinRAR集成该库实现对ACE专有格式的解压。
WinRAR表示找不到源代码所以直接删除库:
WinRAR官方在接到研究人员的通报后已经着手开始处理,不过处理的方式暂时只能删除这个第三方软件库。
这个第三方软件库由于常年没有更新到现在WinRAR甚至都找不到源代码,因此也没办法进行更新或者修复。
删除后WinRAR不再支持对ACE格式的专有文档进行提取,当然估计现在也没有多少用户还在使用这个格式。
目前在WinRAR官网提供的正式版安装包里尚未删除问题库,不过v5.70 beta测试版里已经删除库确保安全。
建议用户立即升级使用v5.70 beta测试版修复这个漏洞,当然也可卸载换成7z等开源压缩管理器。
下载v5.70 beta测试版:http://win-rar.com/predownload.html?spV=true&f=winrar-x64-57b1tc.exe
注:上述下载链接为WinRAR v5.70 Beta版的繁体中文版本,简体中文版尚未提供因此用户可先用繁体版本。
众多压缩管理器类软件附带ACE库:
在WinRAR被爆出存在严重安全漏洞外蓝点网检查其他压缩管理器,例如Bandizip、360压缩和2345好压等。
这些压缩管理器为支持.ACE格式的压缩文件提取也会内置ACE库,所以也同样受到这次安全漏洞问题的影响。
目前上述软件官网都还没有ACE库问题发布声明,不过当前蓝点网下载的最新版测试都是包括.ACE软件库的。
用户暂时也可以下载7-Zip压缩管理器替代使用,7-Zip新版本早已不支持ACE格式所以里面也没内置ACE库。
ACE库已经有十四年没有更新所以这枚上古漏洞估计也无法修复,WinRAR称将会直接删除.ACE库确保安全。
奔跑吧Linux社区实战死机专题:
全程约5小时高清,140多页ppt,8大实验,基于x86_64的Centos 7.6和arm64,提供全套实验素材和环境。全面介绍kdump+crash在死机黑屏方面的实战应用,全部案例源自线上云服务器和嵌入式产品开发实际案例!看死机黑屏专题,今年薪水翻一番!点击阅读原文按钮了解详情。
近日,运营商财经网了解到,中国电信去年计划与中国联通在部分骨干直联点的互联带宽扩容工作已经完成。
关注沈阳网,搜索添加小编微信:254071148和小编一起聊聊沈阳~
您是家长吗?是!就点标题下方蓝色的 家长慧 ,然后点关注,您就可以享受到我们为您提供的最新教育和健康等信息。 欢迎使用家长慧开发的公益学习工具在线新华词典 点击进入
怎么回事儿?
注意数胎动
一去幼儿园就生病,\x0a到底是学校的问题,还是孩子的问题?
20 日,记者从哈尔滨市教育局获悉, 今年,市教育局将多措并举深入贯彻落实全省教育大会精神,实现教育公正公平,教育发展更均衡,一大波好消息袭来。 开展师德三级承诺 教师
每年三月四月都会有一大波职场人蠢蠢欲动,准备换个好东家,同时又有更大一波企业蓄势待发,准备往自己筐里挑些好菜。各大招聘网站广告联起手来给你视觉冲击,形成了一年一度
加强招聘录用过程中的法律风险防范十分必要
请随意diss。
本文内容来自网友供稿,如有信息侵犯了您的权益,请联系反馈核实
Copyright 2024.爱妻自媒体,让大家了解更多图文资讯!