监测发现,WinRAR存在远程代码执行漏洞,WinRAR是一款功能强大的压缩包管理器,可以使用它创建和解压常见的压缩包格式,如 RAR 和 ZIP等类型。近日,WinRAR Windows试用版5.70被公开披露可能存在远程代码执行漏洞,不法分子可以通过拦截和修改发送给应用程序用户的请求,最终实现在受害者的计算机上远程执行任意代码。
对该漏洞的研究源于MSHTML(又名Trident)所呈现的JavaScript错误,MSHTML是目前已停用的Internet Explorer的专有浏览器引擎,在Office中用于呈现Word、Excel和PowerPoint文档中的web内容,从而发现在试用期满后启动应用程序时,错误窗口每三次显示一次。
通过拦截WinRAR通过 notifier.rarlab[.com]提醒用户免费试用期结束时发送的响应代码,并将其修改为“301 Moved Permanently” 重定向消息,该漏洞可以被滥用来为所有后续请求缓存重定向到攻击者控制的恶意域。除此之外,已经能够访问同一网络域的攻击者可以执行ARP欺骗攻击,以远程启动应用程序、检索本地主机信息,甚至运行任意代码。
影响范围:WinRAR Windows 5.70试用版
处置建议:目前漏洞已经公开披露,建议受影响的用户使用官方付费版本。
下载链接:http://www.winrar.com.cn/
