【漏洞预警】WinRAR代码执行漏洞威胁预警
【漏洞预警】WinRAR代码执行漏洞威胁预警
预警编号:NS-2019-0006
2019-02-21
TAG: | WinRAR、代码执行、后门植入 |
|---|---|
危害等级: | 高,此漏洞存在于WinRAR中19年之久,5亿以上的用户面临风险,攻击者利用此漏洞可实现代码执行。 |
版本: | 1.0 |
1
漏洞概述
近日,有安全研究人员使用WinAFL fuzzer发现WinRAR中存在逻辑漏洞,利用该漏洞攻击者可完全控制受害者计算机。攻击者只需利用此漏洞构造恶意的压缩文件,并以钓鱼邮件、网盘、论坛等方式诱导受害者下载恶意构造文件,当受害者使用WinRAR解压该恶意文件时,即完成整个攻击过程。
该漏洞存在于WinRAR使用的ACE库中,在WinRAR解压缩.ACE文件时,由于没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,为攻击者增加后门植入方式。该漏洞在WinRAR中已存在超过19年,目前WinRAR已经放弃对该易受攻击格式(.ACE)的维护支持。
WinRAR是一个用于Windows系统的解压缩工具,可以创建查看rar或zip文件格式的压缩文件,并支持解压多种压缩文件格式。全世界超过5亿用户使用WinRAR,是最受欢迎的压缩工具。
参考链接:
https://research.checkpoint.com/extracting-code-execution-from-winrar/
SEE MORE →
2影响范围
受影响软件:
- WinRAR < 5.70 Beta 1
不受影响版本:
- WinRAR 5.70 Beta 1
经排查发现部分其他压缩工具也集成了UNACEV2.dll库,可能会受到此漏洞的影响,也请关注软件官方的升级通告或删除UNACEV2.dll库文件。不完全统计列表如下:
受影响版本 | |
|---|---|
Bandizip | < = 6.2.0.0 |
好压(2345压缩) | < = 5.9.8.10907 |
其他压缩 | < = ... |
3解决建议
3.1 版本升级
WinRAR 5.70 Beta 1版本删除了UNACEV2.dll库,不支持解压.ACE文件。因此用户可更新WinRAR至此最新版本,以实现对此漏洞的防护。
- 32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe
- 64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe
3.2 删除问题文件
不方便升级软件的用户也可通过删除WinRAR安装路径下的UNACEV2.DLL文件,实现对此漏洞的防护。
END
作者:绿盟科技安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。