看板 Gossiping作者 defeatshame (阿卡林)標題 [新聞] WinRAR遭爆有嚴重安全漏洞,官方回應:那時間 Fri Oct 2 08:50:48 2015
WinRAR遭爆有嚴重安全漏洞,官方回應:那是必要功能不算漏洞
來自伊朗的獨立安全研究員Mohammad Reza Espargham透過資安郵件論壇
Full disclosure揭露了WinRAR中SFX模組的一項重大安全漏洞,該漏洞允許
駭客遠端執行惡意程式,目前尚無CVE編號。不過,WinRAR卻不認為這是個
安全漏洞,認為沒有修補的必要。
WinRAR為一支援Windows的檔案壓縮管理軟體,能將檔案壓縮成RAR或ZIP格
式,也能解開不同格式的壓縮檔。它還有支援Android的程式,以及支援
Linux、FreeBSD與Mac OS X的命令列版本,估計全球用戶數已超過5億。目
前最新的正式版為今年2月發表的WinRAR 5.21,並正在測試WinRAR 5.30。
據Espargham說明,WinRAR SFX 5.21正式版中含有一個遠端程式執行漏洞,
該漏洞存在於「文字與圖示」功能中的「Text to display in SFX
window」模組中,駭客在產生自己的SFX檔案時可藉此嵌入惡意程式碼,只
要使用者開啟惡意的SFX檔就能觸發攻擊行動。
而在使用者端,只要開啟惡意檔案就馬上遭受攻擊,無需其他互動或高級權
限,Espargham亦已公布針對此一漏洞的概念性攻擊程式。
SFX的全名為self-extracting(自解壓縮檔),這也是一個執行檔,不需其
他軟體就能自行解壓縮,除了含有壓縮檔案之外,也內含許多可自動執行的
解壓縮指示,以協助使用者將檔案放置在正確的位置。
根據資安業者MalwareBytes的說明,駭客在建立SFX檔案時,可在Text to
display in SFX window中加入HTML語法,使用者開啟SFX時就會執行該語
法。
WinRAR很快便提出說明指出,舉凡是執行檔都有潛在的危險,WinRAR的SFX
檔案跟其他的執行檔並無不同,使用者都必須確保執行檔來源的可信度。
WinRAR認為,使用者並不容易判斷SFX檔案中可執行的部份是來自於WinRAR
的SFX模組或是其他程式碼,任何惡意程式都能嵌入到SFX檔案夾(archive)
的執行模組中並傳送給使用者,所以討論SFX檔案的漏洞是沒有意義的。
WinRAR還說,限制SFX模組的HTML功能只會傷害到正規使用者,但對於防治
壞人卻一點作用也沒有。就算修補這類漏洞亦無太大幫助,因為SFX就像任
何執行檔一樣,皆具備潛在的安全風險,而且SFX的自動執行能力是安裝軟
體所需的官方功能。WinRAR也表示,我們只能提醒使用者,要開啟任何執行
檔時,包括SFX,一定要確定是來自可靠來源的檔案。(編譯/陳曉莉)
iThome
http://www.ithome.com.tw/news/99052
心得
所以這個漏洞是被繞過去的嗎?
--
「知足常樂,笑口常開。」
Don't forget to Smile :)
http://i.imgur.com/o9RK7eG.jpg
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.41.141.96
※ 文章代碼(AID): #1M3TJiWl (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1443747052.A.82F.html
推 jun1981: 知道yoyo的厲害了吧5F 10/02 08:51
推 XBUCKXMR: 謝謝yoyodiy分享破解winrar的方法8F 10/02 08:52
推 Amgine: 這篇沒yoyodiy我強暴五樓。9F 10/02 08:52
推 kana0228: yoyodiy:嫩 我早就破解了10F 10/02 08:52
推 miayao417: 弱爆了...yoyodiy開發的繞過密碼功能比這個嚴重多了12F 10/02 08:53
推 zz71: 感謝yoyodiy無私分享14F 10/02 08:54
推 jf7642: yoyo大是從根本的破解了他的加密結構 官方根本不能理解15F 10/02 08:54
推 sexonly: SFX本身就是執行檔 防範這個意義不大吧16F 10/02 08:54
推 leo547789: yoyodiy表示本來就漏洞百出啊17F 10/02 08:54
推 reaper8046: 沒人去Full disclosure揭露yoyodiy繞過密碼的重大bug?19F 10/02 08:56
推 mamaka: 太弱了,yoyodiy的程式才叫屌20F 10/02 08:56
推 Orzer: yoyodiy新版的軟體已經"繞過"這漏洞,請私信他本人21F 10/02 08:56
推 godbar: yoyodiy:呵 你們在吵啥24F 10/02 08:57
→ Atwo: yoyodiy到底在搞什麼東西啊25F 10/02 08:58
推 tcancer: RAR:反正執行檔就是危險到極點了,也不差我一個27F 10/02 08:58
→ Bokolo: yoyo真的強28F 10/02 08:58
推 yeary2k: 謝謝yoyodiy分享破解winrar的方法29F 10/02 08:58
推 abram: 所以不要用SFX 就可以防範了嗎30F 10/02 08:58
推 mithuang: 對於執行檔來
說,難的是引誘使用者去點他,而不是難在塞惡意程式碼進去。靠妖都執行檔了誰管你惡意碼是用漏洞塞的還是直接連結進去的31F 10/02 08:59
推 ccjj8: 感恩yoyo 讚嘆yoyo36F 10/02 09:01
推 zaddsc: yoyo表示:我早知道了38F 10/02 09:03
推 aaronhkg: 難怪可以破 感謝yoyo大41F 10/02 09:04
→ go371211 …
推 go371211: its a feature! not bug43F 10/02 09:07
推 kinki999: yoyodiy~~果然利害,大家多站內信幾次就會給你程式了46F 10/02 09:08
推 freegreg: 看到RAR就知道寄信的時候又到了47F 10/02 09:08
推 yeh0416: yoyodiy領先業界20年49F 10/02 09:10
→ bgrich: 自帶解壓的壓縮檔可能夾惡意軟體不是大家早都知道的嗎50F 10/02 09:10
推 asd065: 有請yoyodiy52F 10/02 09:12
→ alog: SFX是可程式化的壓縮檔案 十幾年前就可以寫指令進去了54F 10/02 09:14
→ alog: Mohammad Reza Espargham 大概也不知道RAR作者
原創人早就過世 攻rar演算法的也掰了
rarlab 會這樣回應根本不意外56F 10/02 09:16
推 xxxg00w0: 霸氣回應:又不是加密被破解 在那怕三洨63F 10/02 09:25
推 Yakiko: 樓上 沒人在破解密碼了啦 yoyodiy 都直接繞過64F 10/02 09:29
推 Leeng: yoyodiy果然是先知65F 10/02 09:30
推 Curtis2009: 記得yoyo大3.0還是3.5版本裡有提到這漏洞。66F 10/02 09:35
推 rockyegg: RAR自解檔很危險我在10幾年前玩天堂的時候就知道了好嗎?67F 10/02 09:35
推 duece0927: 聽說現在寄十次信給他 有機會獲得鈦金版4.0BETA試用69F 10/02 09:43
推 id: 這個我以前也發現了,所以都把自解檔改成RAR,省得麻煩70F 10/02 09:48
推 yam276: 嫩 yoyodiy樂勝71F 10/02 09:56
推 M013: YOYODIY72F 10/02 10:04
→ saiulbb: 難得看到哀梯轟的文章 原來是yoyodiy rar...73F 10/02 10:05
推 deathsman: Yoyo破解程式昨天又更新了 這次可以順便轉中簡亂碼成繁74F 10/02 10:08
→ deathsman: 體了 謝謝yoyo大這次這麼快回信76F 10/02 10:10
推 YSJ543: YOYODIY繞過去被發現了!78F 10/02 10:39
推 birdman4368: yoyodiy已經在研發解壓縮後自動消馬賽克的程式了79F 10/02 10:42
推 lolucky531: 寄信小撇步 不要在有新聞的時候寄 同時間信太多大師會不爽83F 10/02 11:13
推 gsm316060: yoyodiy早就發現漏洞並且分享給大家啦 感嘆yoyodiy讚嘆yoyodiy85F 10/02 12:57
推 e761031: yoyo大叔實在很神阿!!!!!!!!!!!!!!!!88F 10/02 14:13
推 ipspro: 信YOYO得永生93F 10/02 19:23
--