看板 Gossiping作者 AsahiBeer (朝日啤酒)標題 [問卦] WinRAR 爆重大漏洞,駭客可遠端執行惡意時間 Fri Jun 27 17:06:53 2025
WinRAR 爆重大漏洞,駭客可遠端執行惡意程式碼
知名壓縮軟體 WinRAR 近期被揭露存在一項嚴重安全漏洞,據趨勢科技 Zero Day
Initiative 的通報,該漏洞已被編號為 CVE-2025-6218,屬於「目錄穿越」(
directory traversal)類型。攻擊者可透過精心製作的惡意壓縮檔,誘使使用者解壓縮
時讓檔案被寫入系統中非預期的位置,進而執行任意程式碼。
這項漏洞由獨立安全研究員「whs3-detonator」發現。雖然這類攻擊仍需使用者進行互動
(如手動解壓縮),但透過操控壓縮檔中目錄路徑的方式,攻擊者可以讓 WinRAR 在解壓
縮時錯誤地將檔案寫入系統受限制的目錄,進一步造成資訊洩漏、系統檔案被竄改,甚至
可能導致整個系統無法使用。
據 CVSS(通用漏洞評分系統)的評估,此漏洞的嚴重性達到 7.8 分(滿分 10 分),屬
於「高風險等級」,對機密性、完整性與可用性都構成重大威脅。
WinRAR 母公司 RARLAB 已在最新測試版中修補此漏洞,據官方說明,WinRAR 7.11 及更
早版本、Windows 平台上的 RAR、UnRAR、UnRAR 原始碼與 UnRAR.dll 均受到影響;不
過 Unix 平台版本的 RAR、UnRAR、UnRAR 函式庫與 Android 版則未受波及。
官方建議用戶應盡快手動更新至 WinRAR 7.12 Beta 1 測試版,以避免遭受
CVE-2025-6218 所造成的安全風險。
WinRAR 全球活躍使用者超過 5 億人,因此經常成為駭客與惡意軟體開發者的攻擊目標。
今年 4 月,該軟體也曾爆出另一項漏洞,使其能在未觸發 Windows「網路標記」(Mark
of the Web, MotW)警示下直接執行網路下載檔案。不過該問題已在 WinRAR 7.11 的更
新紀錄中修補,並附有技術細節說明。
使用 WinRAR 的用戶應定期留意官方更新資訊,並儘速升級版本,以確保系統不受潛在攻
擊威脅。
https://infosecu.technews.tw/2025/06/26/winrar-vulnerabilities/
有沒有卦?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.124.93.43 (臺灣)
※ 作者: AsahiBeer 2025-06-27 17:06:53
※ 文章代碼(AID): #1eNbynLW (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1751015217.A.560.html
推 kent: @yoyodiy1F 118.161.203.119 台灣 06/27 17:07
推 qqq87112: 繞過去2F 118.232.38.184 台灣 06/27 17:07
推 Smallsh: 還好我用7-zip3F 140.117.25.106 台灣 06/27 17:07
推 ZakkWylde: yo叔早就會了4F 101.10.49.131 台灣 06/27 17:07
推 WeGoStyle: 看吧 真的繞過去了5F 42.77.202.179 台灣 06/27 17:07
推 color3258: YO叔繞過6F 118.167.75.161 台灣 06/27 17:07
推 fangio: yo叔表示7F 223.137.200.238 台灣 06/27 17:07
→ johnhmj: 不連網就沒事啦8F 49.216.86.7 台灣 06/27 17:07
推 higameboy: 繞過去10F 42.73.174.147 台灣 06/27 17:08
推 Dhack5321: yo叔領先全球11F 61.222.88.145 台灣 06/27 17:08
→ sjr500: yoyo:我不是說過了嗎12F 42.73.15.204 台灣 06/27 17:08
→ mozaiwen: 怎麼winrar整天都有漏洞啊13F 60.251.132.230 台灣 06/27 17:08
推 zero00072: 首先,你還付錢呀,尊貴的客人。
還沒14F 42.73.71.68 台灣 06/27 17:09
推 BIA: 等等 這個不是都用盜版?16F 122.116.213.197 台灣 06/27 17:09
推 dai26: 現在還有人用WINRAR ???17F 223.139.104.133 台灣 06/27 17:09
推 derekjj: 繞過去打你18F 114.46.10.182 台灣 06/27 17:09
推 shadowdio: 跟不上八卦自耕農20F 114.39.102.71 台灣 06/27 17:10
推 Jkyzer: @yoyodiy21F 123.205.177.206 台灣 06/27 17:10
→ knives: Yo大叔表示
有夠廢的,台灣人早就繞過去了22F 114.38.33.148 台灣 06/27 17:11
→ lpbrother: winrar還有在更新嗎?24F 223.23.118.94 台灣 06/27 17:11
→ misthide: 一定是yoyodiy搞的鬼(X25F 36.227.172.88 台灣 06/27 17:12
推 veryGY: winrar現在靠出名牌包賺錢不是嬤?27F 114.45.212.68 台灣 06/27 17:12
推 gama: yo叔早就發現弱點繞過去了28F 223.140.138.112 台灣 06/27 17:13
推 sunday0913: yo叔技術獨步全球29F 101.10.222.148 台灣 06/27 17:14
噓 wwewcwwwf: 紅明顯 yo叔領先全世界20年!!!!!!!!!!!30F 61.231.182.226 台灣 06/27 17:14
推 fp737: 無聊 yo叔強多了32F 61.223.11.9 台灣 06/27 17:15
推 fransice7: yo叔直接繞過33F 59.126.185.223 台灣 06/27 17:17
推 kming327: 趕緊下載 晚了會被禁34F 111.71.116.24 台灣 06/27 17:17
→ ss88812: 被繞過去了嗎?35F 42.72.146.52 台灣 06/27 17:17
→ moai513: 繞過去幾年了36F 61.231.56.41 台灣 06/27 17:17
推 MangoLi: 還好早改用7-zip37F 219.84.107.56 台灣 06/27 17:18
→ Forcast: 誰還用rar,一堆不支援38F 111.241.58.117 台灣 06/27 17:18
推 Yahweh: 還好我都用 tar39F 118.165.166.83 台灣 06/27 17:20
→ ssss8282: 好險我都用7z40F 42.72.221.228 台灣 06/27 17:21
推 Yan5566: 這邊的人全部都會繞過 完全不在乎41F 118.232.72.115 台灣 06/27 17:21
→ a2156700: 繞過去了42F 101.8.249.249 台灣 06/27 17:22
推 macocu: 這新聞記得之前就有了43F 219.85.89.213 台灣 06/27 17:23
→ vowpool: yoyodiy早就繞過去了44F 125.227.40.62 台灣 06/27 17:24
→ AoiKazuya: MotW 去年11月7z也有被回報,只是人家今年2月前就修好了46F 211.21.124.128 台灣 06/27 17:26
→ harryron9: 傻逼才用 MIS都會噴你48F 58.114.217.15 台灣 06/27 17:28
推 TsaiIngWen: yo叔早就繞過去了49F 118.163.50.115 台灣 06/27 17:29
推 ashs92223: yo叔預告在前,修得很慢耶 0.050F 101.8.242.109 台灣 06/27 17:31
推 ALDNOAH5566: yo大叔領先全世界51F 42.72.195.229 台灣 06/27 17:33
→ bairn: Yo 叔繞過20年了,現在才發現52F 111.71.214.49 台灣 06/27 17:33
推 jej: 樓上一堆7z自high的
7z也被爆有資安問題
但說回來winrar不是早就有資安問題了54F 42.70.243.235 台灣 06/27 17:36
推 tony15899: 早就繞過去了57F 59.120.59.210 台灣 06/27 17:37
→ jej: 是腿到今天才報導?58F 42.70.243.235 台灣 06/27 17:37
推 jdklas: 國民岳父YO叔技術領先世界至少十年59F 42.79.220.7 台灣 06/27 17:37
推 wwewcwwwf: 7z有些解不開 還不是要用rar解60F 61.231.182.226 台灣 06/27 17:39
推 violegrace: 早就繞過了61F 59.120.114.170 台灣 06/27 17:39
推 Dannic: 還好我用Bandizip62F 114.136.204.243 台灣 06/27 17:40
→ boulard: 早就知道了63F 1.34.149.7 台灣 06/27 17:43
推 B9702115: 現在還有人用Rar?64F 27.247.30.60 台灣 06/27 17:50
推 sky001tp: Yo叔早在20年前就知道怎麼繞過了65F 42.79.184.135 台灣 06/27 17:54
推 ronga: yo叔20年前就示範過了66F 210.61.66.43 台灣 06/27 17:56
推 chysh: 推文沒有yo叔我就承認我青鳥67F 49.216.25.18 台灣 06/27 18:02
推 homerunball: 唯一指定yo叔幫你繞68F 125.230.209.77 台灣 06/27 18:03
推 lalabear520: 秒想到yo叔…69F 125.229.194.157 台灣 06/27 18:11
推 angelo98: 現在才繞太晚了吧70F 101.8.249.181 台灣 06/27 18:16
→ kikoyo: 用習慣懶得換阿72F 61.231.195.96 台灣 06/27 18:20
→ alex00089: 哇靠繞過去了73F 42.77.26.32 台灣 06/27 18:20
推 beetlej: rar格式早就沒在用,沒差74F 42.72.77.123 台灣 06/27 18:27
推 EXZUSIC: yo叔都講多久了,這漏洞他早知道75F 123.195.0.50 台灣 06/27 18:36
推 gghh: 7ZIP1不是說俄羅斯的嗎?76F 1.175.209.52 台灣 06/27 18:39
推 highkuso: yo叔早已開示77F 42.79.75.101 台灣 06/27 18:43
推 Crissangel: 你各位就繼續不付錢78F 42.77.62.156 台灣 06/27 18:44
→ momoden: Yo…..?79F 220.143.4.134 台灣 06/27 18:54
→ jialin6666: 7.8還好啦,一堆8-9的幹嘛不說82F 114.136.193.22 台灣 06/27 19:04
推 sam0324sam: bandizip yyds83F 49.218.241.99 台灣 06/27 19:08
推 papamonkey: YO:十年前早說過了...85F 114.38.78.202 台灣 06/27 19:16
推 linbasohigh: Yo叔繞過密碼後就變這樣了86F 36.239.228.102 台灣 06/27 19:27
推 enskyzuso: 繞過去yo叔早就會了87F 123.240.20.222 台灣 06/27 19:48
推 Arctica: 資安單位一直拿CVE來煩==88F 223.140.52.244 台灣 06/27 19:58
推 ramskull: 7-zip GOAT89F 223.139.46.131 台灣 06/27 20:20
--