cherry 近日,Zero Day Initiative(ZDI)网站今天发布安全公告,表示旗下安全研究专家 在 WinRAR 软件中发现高危漏洞,追踪编号为 CVE-2023-40477,于 2023 年 6 月 8 日向 RARLAB 报告了该漏洞,新版本已经修复了上述漏洞。
在 ZDI 网站上发布的安全公告中写道:"具体漏洞存在于恢复卷的处理过程中。该问题源于缺乏对用户提供数据的适当验证,这可能导致内存访问超过分配缓冲区的末端。"
该漏洞产生的根源在于对用户提供的数据缺乏适当的验证,这会引发分配的缓存背后的内存访问。漏洞利用需要用户交互,即攻击者需要访问恶意页面或打开精心伪造的 RAR 文件。黑客可以利用该漏洞创建 RAR 文件,受害者一旦解压该文件,系统就会被感染,黑客就能远程执行任意代码。
由于目标需要诱骗受害者打开存档,因此根据 CVSS 的评分,该漏洞的严重性等级降至 7.8。
不过,从实际角度来看,欺骗用户执行所需的操作应该不会有太大的难度,而且考虑到 WinRAR 庞大的用户群,攻击者有足够的机会成功利用该漏洞。
RARLAB 于 2023 年 8 月 2 日发布了 WinRAR 6.23 版,有效地解决了 CVE-2023-40477 的问题。因此,强烈建议 WinRAR 用户立即应用可用的安全更新。
免责声明:素材源于网络,如有侵权,请联系删稿。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
