压缩软件 WinRAR 发布 7.23 版本,修复内存溢出与路径遍历两项安全漏洞

感谢网友 Coje_He 的线索投递!

7 月 2 日消息,WinRAR 现已发布 7.23 新版更新,主要修复了两项安全漏洞,分别涉及内存安全问题以及符号链接(Symbolic Link)处理机制缺陷,影响范围涵盖 WinRAR 本体及其相关组件 RAR 和 UnRAR。官方建议用户尽快升级,以降低潜在风险。

注意到,这次修复的两项漏洞目前尚未分配 CVE 编号,也没有公布 CVSS 严重性评分,官方目前仅提供了简要的漏洞成因和影响说明。

其中第一项漏洞属于堆缓冲区溢出(Heap Overflow)问题,源头出在 WinRAR 用于修复损坏压缩包的“恢复卷(Recovery Volume)”机制。黑客可设计特殊 RAR5 格式恢复数据文件,让 WinRAR 尝试重建损坏数据时触发内存损坏,进而导致程序异常崩溃。虽然目前官方说明仅提到程序崩溃风险,但这类内存破坏漏洞在理论上也可能被进一步利用,形成更严重的攻击链。

第二项漏洞则涉及符号链接处理逻辑。WinRAR 在特殊 RAR 压缩包时,可能创建指向解压目标目录之外的符号链接,从而带来路径遍历(Path Traversal)风险。黑客可以利用这一缺陷让解压过程把文件写入用户指定目录之外的位置,进而植入恶意程序。针对这一问题,WinRAR 7.23 新版增加了额外的路径校验机制,用于阻止解压过程通过符号链接将文件写入目标目录之外。

整体来看,这次修复虽然没有公开详细技术细节,也尚未看到漏洞被实际利用的案例,但由于相应漏洞本身属于内存破坏和路径遍历两类典型高风险性质,尤其 WinRAR 作为 Windows 平台使用率极高的压缩工具,一旦存在的漏洞被黑客用于实战,影响面可能相当广。因此用户应当尽快升级至 WinRAR 7.23 ,从而提升设备安全性。

相关推荐:

影响全球超 50 亿台手机:苹果隔空投送 / 谷歌快速分享曝安全漏洞

7 月 1 日消息,CISPA 亥姆霍兹信息安全中心于 6 月 25 日发布论文,研究指出苹果隔空投送(AirDrop)和谷歌安卓快速分享(Quick Share)存在安全漏洞,影响全球超过 50 亿台 iPhone 和安卓手机。研究人员深入研究苹果隔空投送和谷歌快速分享,发现这两套近距离无线传输系统为保证传输流程尽量无感,会以高权限后台服务运行,在附近出现其他设备时会立即唤醒。但问题是发送方身份...

财务数据大危机!ChatGPT表格插件爆发严重安全漏洞

在ai办公工具加速渗透职场的当下,不少专业人士依赖智能插件高效处理海量表格数据。然而,安全机构promptarmor最新发布的研究报告,为这一繁荣表象投下了一道阴影。该报告指出,广受用户信赖的浏览器扩展“chatgpt for google sheets”存在高危安全缺陷。 ☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 多模态理解力帮你轻松跨越从0到1的创作门槛☜☜☜ 恶意指令借道外部数据...
· AI · 118142

Edge浏览器怎么使用Drop配置独立的本地接收保存路径_Edge浏览器跨端传输文件分类

Drop接收文件默认存入系统“下载”文件夹,需通过修改该文件夹位置(如右键属性→位置→移动至D:\Drop_Receive)、创建符号链接(mklink /J重定向)或结合OneDrive+任务计划按扩展名归类实现自定义路径。 Drop本身不提供“接收路径设置”入口,所有文件默认落进系统级“下载”文件夹;想让它存到自定义路径,必须绕过浏览器界面,直接干预系统行为或文件系统结构。 修改系统“下载”文...

Safari浏览器怎么设置下载路径_Safari设置文件下载位置方法【攻略】

Safari下载路径可通过五种方式调整:一、偏好设置指定文件夹;二、终端命令修改DownloadsPath;三、符号链接重定向~/Downloads;四、启用下载前询问;五、按Option键临时另存为。 如果您在Mac上使用Safari浏览器下载文件,但默认保存至“下载”文件夹不符合您的组织习惯或存储策略,则需要手动调整其默认下载位置。Safari不提供一键式全局路径覆盖功能,但可通过图形界面设置...

Edge浏览器怎么管理下载路径_Edge修改文件保存位置【诀窍】

Edge浏览器下载路径可通过四种方法修改:一、设置界面操作;二、地址栏输入edge://settings/downloads;三、注册表编辑HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftEdge;四、组策略编辑器配置(仅专业版/企业版)。 如果您在使用Edge浏览器下载文件时,默认保存位置不符合您的需求,则需要手动调整下载路径。以下是修改Edge浏览器文件保...

CodeBuddy做代码安全漏洞检测准确吗?

CodeBuddy通过五种方式提升安全检测准确性:一、多引擎协同分析交叉验证;二、人工标注反馈闭环优化模型;三、挂载企业专属知识库增强上下文理解;四、沙箱环境动态验证漏洞可达性;五、对接NVD/CVE库实时校准。 ☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 多模态理解力帮你轻松跨越从0到1的创作门槛☜☜☜ 如果您在使用CodeBuddy进行代码安全审查时,对检测结果的准确性存疑,则可能是...

Anaconda提示Conda不是命令怎么办 Anaconda路径配置方法【攻略】

conda命令报错因环境变量未配置,需将Anaconda根目录、Scripts目录及Library\bin目录添加到Path中,再重启终端验证conda --version。 刚装完Anaconda,打开CMD输入conda就报错“不是内部或外部命令”,说明系统根本没找到conda.exe这个文件——它就躺在你电脑里,只是Windows不知道去哪翻找。问题不在安装失败,而在路径没告诉系统。 确认c...

TeXstudio怎么配置编译路径 TeXstudio环境设置方法【指南】

TeXstudio编译报“pdflatex未找到”是因编译器路径未正确配置,需先用where/which命令确认TeX Live安装路径,再在配置→命令中手动指定pdflatex、xelatex等可执行文件的完整路径,最后设默认编译器为XeLaTeX并用含ctex的测试文档验证。 TeXstudio编译时提示“pdflatex未找到”或“无法执行命令”,说明编辑器根本没连上TeX Live里的编译...