知名的壓縮文件管理工具 WinRAR 被發現有重大漏洞,駭客可以從 RAR 格式檔案植入惡意軟體,只要使用者不小心點開,就可能被開啟遠端控制權限。
(前情提要:拜登對AI國安危機演講全文:與科技「七武海」Google、OpenAI、微軟..達成承諾)
(背景補充:微軟AI野心不藏了,Windows Copilot 堪稱全能助理、Bing重定義ChatGPT使用方法)
如果你對這張圖不陌生,那一定要注意了!WinRAR 是一個知名的壓縮文件管理工具,根據網路資安網站 Zero Day Initiative(ZDI)公告,他們在 WinRAR 軟體中發現重大漏洞,這個漏洞允許駭客從 WinRAR 植入惡意軟體,只要使用者不小心點開,駭客就可以入侵或遠端操控。
高風險漏洞「 CVE-2023-40477」
Zero Day Initiative 指出,這個漏洞的破壞力評分為 7.8/10,屬於高危險的漏洞,因為要誘使使用者解壓縮特定檔案才能進行攻擊,所以分數落在 7.8 分,但由於 WinRAR 廣泛使用且 RAR 格式常被應用在軟體和電子書的壓縮上,攻擊的風險與規模依然相當可觀。
具體的攻擊方式是透過社群軟體、E-mail 著手,寄送帶有惡意的 RAR 檔,通過話術誘使使用者開啟壓縮檔,使用者只要點開,就會掉入此陷阱。
ZDI 在 6 月 8 日發現了這個漏洞後,已向 WinRAR 報告。8 月 2 日,WinRAR 公佈更新相關資訊,並對資安團隊的協助表示感謝。因為大部分的人在買完電腦下載完 WinRAR 後,基本上就放著不管,如果使用者還在原版的 WinRAR,必須留意且盡快下載更新檔,來避免電腦遭到高風險的程式漏洞攻擊。
除了 WinRAR 之外,還有其他解壓縮軟件能夠處理 RAR 檔,其中一個主要的選擇就是 7-Zip。此外,微軟已計劃在下一次的 Windows 11 重大功能更新中引入對 RAR、7-Zip 以及 GZ 壓縮檔的原生支援。這意味著用戶將能夠在操作系統內直接處理這些壓縮格式,而不必依賴第三方軟體,未來這種攻擊可能大幅降低。
📍相關報導📍
微軟大逆轉!美國法院點頭「收購動視暴雪」,英國監管態度急轉彎
