知名壓縮軟體 WinRAR 近期被揭露存在一項嚴重安全漏洞,據趨勢科技 Zero Day Initiative 的通報,該漏洞已被編號為 CVE-2025-6218,屬於「目錄穿越」(directory traversal)類型。攻擊者可透過精心製作的惡意壓縮檔,誘使使用者解壓縮時讓檔案被寫入系統中非預期的位置,進而執行任意程式碼。
這項漏洞由獨立安全研究員「whs3-detonator」發現。雖然這類攻擊仍需使用者進行互動(如手動解壓縮),但透過操控壓縮檔中目錄路徑的方式,攻擊者可以讓 WinRAR 在解壓縮時錯誤地將檔案寫入系統受限制的目錄,進一步造成資訊洩漏、系統檔案被竄改,甚至可能導致整個系統無法使用。
據 CVSS(通用漏洞評分系統)的評估,此漏洞的嚴重性達到 7.8 分(滿分 10 分),屬於「高風險等級」,對機密性、完整性與可用性都構成重大威脅。
WinRAR 母公司 RARLAB 已在最新測試版中修補此漏洞,據官方說明,WinRAR 7.11 及更早版本、Windows 平台上的 RAR、UnRAR、UnRAR 原始碼與 UnRAR.dll 均受到影響;不過 Unix 平台版本的 RAR、UnRAR、UnRAR 函式庫與 Android 版則未受波及。
官方建議用戶應盡快手動更新至 WinRAR 7.12 Beta 1 測試版,以避免遭受 CVE-2025-6218 所造成的安全風險。
WinRAR 全球活躍使用者超過 5 億人,因此經常成為駭客與惡意軟體開發者的攻擊目標。今年 4 月,該軟體也曾爆出另一項漏洞,使其能在未觸發 Windows「網路標記」(Mark of the Web, MotW)警示下直接執行網路下載檔案。不過該問題已在 WinRAR 7.11 的更新紀錄中修補,並附有技術細節說明。
使用 WinRAR 的用戶應定期留意官方更新資訊,並儘速升級版本,以確保系統不受潛在攻擊威脅。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
