Re: [問卦] winrar爆漏洞 卦?

※ 引述《a9202507 (先認真的就輸了。)》之銘言：
: 如題
: winrar爆漏洞 可以在開時機植入惡意程式
: 這種程度應該不算什麼吧
: yo叔一下就 ___過去了 對吧對吧。
: https://i.imgur.com/AVN6p2K.jpeg
:

https://infosecu.technews.tw/2025/06/26/winrar-vulnerabilities/

WinRAR 爆重大漏洞，駭客可遠端執行惡意程式碼
作者 邱 倢芯 | 發布日期 2025 年 06 月 26 日 9:57 | 分類 科技生活 , 資訊安全 ,軟體、系統line shareLinkedin sharefollow us in feedlyline share

WinRAR 爆重大漏洞，駭客可遠端執行惡意程式碼
知名壓縮軟體 WinRAR 近期被揭露存在一項嚴重安全漏洞，據趨勢科技 Zero Day
Initiative 的通報，該漏洞已被編號為 CVE-2025-6218，屬於「目錄穿越」（directory traversal）類型。攻擊者可透過精心製作的惡意壓縮檔，誘使使用者解壓縮時讓檔案被寫入系統中非預期的位置，進而執行任意程式碼。

這項漏洞由獨立安全研究員「whs3-detonator」發現。雖然這類攻擊仍需使用者進行互動（如手動解壓縮），但透過操控壓縮檔中目錄路徑的方式，攻擊者可以讓 WinRAR 在解壓縮時錯誤地將檔案寫入系統受限制的目錄，進一步造成資訊洩漏、系統檔案被竄改，甚至可能導致整個系統無法使用。

據 CVSS（通用漏洞評分系統）的評估，此漏洞的嚴重性達到 7.8 分（滿分 10 分），屬於「高風險等級」，對機密性、完整性與可用性都構成重大威脅。

WinRAR 母公司 RARLAB 已在最新測試版中修補此漏洞，據官方說明，WinRAR 7.11 及更早版本、Windows 平台上的 RAR、UnRAR、UnRAR 原始碼與 UnRAR.dll 均受到影響；不過 Unix 平台版本的 RAR、UnRAR、UnRAR 函式庫與 Android 版則未受波及。

官方建議用戶應盡快手動更新至 WinRAR 7.12 Beta 1 測試版，以避免遭受 CVE-2025-
6218 所造成的安全風險。

WinRAR 全球活躍使用者超過 5 億人，因此經常成為駭客與惡意軟體開發者的攻擊目標。今年 4 月，該軟體也曾爆出另一項漏洞，使其能在未觸發 Windows「網路標記」（Markof the Web, MotW）警示下直接執行網路下載檔案。不過該問題已在 WinRAR 7.11 的更新紀錄中修補，並附有技術細節說明。

使用 WinRAR 的用戶應定期留意官方更新資訊，並儘速升級版本，以確保系統不受潛在攻擊威脅。

WinRAR exploit enables attackers to run malicious code on your PC — critical
vulnerability patched in latest beta update

--