WinRAR 爆重大漏洞，駭客可遠端執行惡意程式碼 知名壓縮軟體 WinRAR 近期被揭露存在一項嚴重安全漏洞，據趨勢科技 Zero Day Initiative 的通報，該漏洞已被編號為 CVE-2025-6218，屬於「目錄穿越」（ directory traversal）類型。攻擊者可透過精心製作的惡意壓縮檔，誘使使用者解壓縮 時讓檔案被寫入系統中非預期的位置，進而執行任意程式碼。 這項漏洞由獨立安全研究員「whs3-detonator」發現。雖然這類攻擊仍需使用者進行互動 （如手動解壓縮），但透過操控壓縮檔中目錄路徑的方式，攻擊者可以讓 WinRAR 在解壓 縮時錯誤地將檔案寫入系統受限制的目錄，進一步造成資訊洩漏、系統檔案被竄改，甚至 可能導致整個系統無法使用。 據 CVSS（通用漏洞評分系統）的評估，此漏洞的嚴重性達到 7.8 分（滿分 10 分），屬 於「高風險等級」，對機密性、完整性與可用性都構成重大威脅。 WinRAR 母公司 RARLAB 已在最新測試版中修補此漏洞，據官方說明，WinRAR 7.11 及更 早版本、Windows 平台上的 RAR、UnRAR、UnRAR 原始碼與 UnRAR.dll 均受到影響；不 過 Unix 平台版本的 RAR、UnRAR、UnRAR 函式庫與 Android 版則未受波及。 官方建議用戶應盡快手動更新至 WinRAR 7.12 Beta 1 測試版，以避免遭受 CVE-2025-6218 所造成的安全風險。 WinRAR 全球活躍使用者超過 5 億人，因此經常成為駭客與惡意軟體開發者的攻擊目標。 今年 4 月，該軟體也曾爆出另一項漏洞，使其能在未觸發 Windows「網路標記」（Mark of the Web, MotW）警示下直接執行網路下載檔案。不過該問題已在 WinRAR 7.11 的更 新紀錄中修補，並附有技術細節說明。 使用 WinRAR 的用戶應定期留意官方更新資訊，並儘速升級版本，以確保系統不受潛在攻 擊威脅。 https://infosecu.technews.tw/2025/06/26/winrar-vulnerabilities/ 有沒有卦？ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.124.93.43 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1751015217.A.560.html