今週、セキュリティ研究者のMohammad Reza Esparghamは、人気のあるWinRAR v 5.21アーカイバに重大なリモートコード実行(RCE)脆弱性の発見を
発表しました。 このプログラムは世界中のユーザーに非常に人気があり、5億人以上が使用しています。 この脆弱性により、攻撃者はユーザーのコンピューターで無関係なコードを実行する特別な自己解凍SFXアーカイブを作成できます。
ユーザーの観点からすると、SFXアーカイブは実行可能ファイルであるため、この脆弱性は重要ではありません。つまり、エクスプロイトをアクティブにするには、ユーザーがこのファイルをダウンロードして実行する必要があります。未知の起源は強く推奨されません(それらはそれ自体で悪意がある可能性があります)。
この脆弱性は
、SFXウィンドウセクション
に表示する
テキストの
テキストおよびアイコンアーカイバー機能に存在し
ます 。 これを行うには、特別に形成されたHTMLテキストをSFXアーカイブに追加する必要があります。 この脆弱性により、unpacker実行可能コードは、そこに指定された場所で実行可能ファイルをダウンロードして実行することができます。 この脆弱性は、SFXアーカイブがアーカイバ自体によって解凍され、手動での起動ではなく、つまり、最初の実行可能コードをアクティブ化しない場合には機能しません。
図 脆弱性の悪用のデモンストレーション。信頼できないソースから取得した実行可能ファイルを実行することはお勧めしません。 WinRAR自体に
は 、ユーザーがSFXアーカイブを開始したときに追加の実行可能ファイルを実行できる標準機能が
含まれていることに注意してください。 さらに、WinRARによって作成されたSFXアーカイブはデジタル署名されていないため、ユーザーがアーカイブファイルが誰(本物)によって侵害されていないことを確認する機会はほとんどありません。 攻撃者は元のSFXアーカイブを取得し、アンパッカーコードを変更して、疑わしいリソースとトレントに正当なものとして配布できます。 このような操作は脆弱性の悪用ではありませんが、ユーザーに同様の結果をもたらします。
安全である。