1. 漏洞回顧
近日,全球非常通用的壓縮軟件WinRAR被爆發現目錄穿越漏洞,打開特殊構造的壓縮包,可能導致植入惡意程序到系統,影響<=5.61的版本,漏洞回顧:
https://research.checkpoint.com/extracting-code-execution-from-winrar/
此漏洞影響範圍極廣,問題主要出現在程序中的UNACEV2.DLL模塊,除了WinRAR和其他壓縮軟件,本次漏洞波及所有調用該模塊的程序,包括但不限於各種壓縮軟件,未更新的版本也可能存在同樣的漏洞。目前WinRAR已經發布更新版本,請大家及時更新,同時建議對全盤進行搜索,涉及UNACEV2.DLL模塊的其他軟件也請儘快手動修復。
下文提供Winrar官方更新及手動修復兩種操作方式。
2. WinRAR官方補丁更新
WinRAR官方隨後發佈了個漏洞修復的版本,5.70 beta 1,截至目前最新的是5.70 beta 2版本,補丁修補的方式很簡單,安裝新版直接刪除了舊版產生漏洞的UNACEV2.DLL模塊(即使覆蓋安裝也一樣),該模塊功能是支持解壓ACE格式的壓縮包文件,參考:
https://www.rarlab.com/rarnew.htm
3.手動修復操作
目前發佈的只是修補漏洞(刪除漏洞模塊)的 beta 版本,不是正式版,對不想升級到beta 版本的用戶來說,可以考慮自行修補漏洞,操作步驟如下:
打開WinRAR的安裝目錄,通常可能是:C:\Program Files\WinRAR;把目錄下的UNACEV2.DLL文件重命名成UNACEV2.DLL.BAK或是刪除即可。刪除該模塊不會影響常用RAR、ZIP、7Z等格式的壓縮包解壓,只會影響ACE格式:
UNACEV2.DLL使用廣泛,其他調用該模塊的程序(包括但不限於各種壓縮軟件)未更新的版本也可能存在同樣的漏洞,請考慮搜索全盤文件,確認是否還有其他程序包含並調用了UNACEV2.DLL模塊,目前網上提供公開下載的模塊主要6個版本:
文件版本:2.0.3.0
編譯時間:Fri Mar 02 06:25:23 2001
文件MD5:73DD5C2CE3CD134DC235A2D045A01000
文件版本:2.1.1.0
編譯時間:Thu Mar 07 07:42:08 2002
文件MD5:7FE66F3BD9CBB998D56EF60D511FF06F
文件版本:2.6.0.2
編譯時間:Fri Aug 26 23:41:21 2005
文件MD5:F9622B84D0050D590CE71FD882A130EE
文件版本:2.6.0.3
編譯時間:Fri Aug 26 23:41:21 2005
文件MD5:492E0883DEFBE740D5DA3737E87C95EC
文件版本:2.6.0.0
編譯時間:Fri Aug 26 23:41:21 2005
文件MD5:DE02C4D04088B69E64ECC30A3D9E22E5
文件版本:2.6.0.0
編譯時間:Fri Aug 26 23:41:21 2005
文件MD5:1ABD8D68E014BC9D1FB3AAB32D47A617
經測試,2.6.0.0、2.6.0.2、2.6.0.3版本都存在漏洞,而WinRAR帶的正是2.6.0.0版,另外2.0.3.0、2.1.1.0版本的漏洞觸發報錯:
4. 修補驗證
再打開特意構造的代碼執行POC壓縮包時,會提示找不到UnAceV2.Dll文件,從而漏洞利用失敗,達到了補丁效果。
本文轉自 安恆應急響應中心
美國K2公司稱研發了攻克零日攻擊的新技術
數據洩露 | 印度458388名公民個人數據遭洩露
美國國務卿:美國不會與使用華為系統的國家合作
網絡安全措施最佳的六個國家
KindEditor上傳漏洞預警
Winrar目錄穿越漏洞預警
▼點擊“閱讀原文” 查看更多精彩內容
閱讀更多 E安全 的文章
