全球用户超过 5 亿的经典 Windows 压缩工具 WinRAR 被保安软件公司 Check Point 的研究人员发现漏洞。这漏洞更影响过去 19 年以来推出过的 WinRAR 所有版本,影响多达 5 亿人。
该漏洞存在于 unacev2.dll ,主要用来解压 ACE 格式之用。攻击者可在用户指定的解压路径以外的地方建立档案,例如放到 startup 资料夹,引导恶意程式自动执行。
WinRAR 在 2019 年 1 月 28 日推出的 5.70 Beta 1 中修正漏洞。不过如果无法更新,建议不要解压任何 ACE 格式档。不过,由于 WinRAR 用户众多,而已会定时更新的也许只占少部分,此漏洞也许会被黑客们利用。
