99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

漏洞概述

攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼。目前漏洞利用細(xì)節(jié)尚未公開。

WinRAR 是一款功能強(qiáng)大的壓縮包管理器，作為檔案工具RAR在 Windows環(huán)境下的圖形界面，可用于備份數(shù)據(jù)、壓縮文件、解壓RAR/ZIP等格式的文件、創(chuàng)建 RAR/ZIP 等格式的壓縮文件，得到了較為廣泛的應(yīng)用。

近日，安全研究團(tuán)隊檢測發(fā)現(xiàn)WinRAR的四個安全漏洞，分別為ACE文件驗證邏輯繞過漏洞（CVE-2018-20250）、ACE文件名邏輯驗證繞過漏洞（CVE-2018-20251）、ACE/RAR文件越界寫入漏洞（CVE-2018-20252）以及LHA/LZH文件越界寫入漏洞（CVE-2018-20253）。漏洞攻擊者利用上述漏洞，通過誘使用戶使用WinRAR打開惡意構(gòu)造的壓縮包文件，將惡意代碼寫入系統(tǒng)啟動目錄或者寫入惡意dll劫持其他軟件進(jìn)行執(zhí)行，實(shí)現(xiàn)對用戶主機(jī)的任意代碼執(zhí)行攻擊。

漏洞編號

CVE-2018-20250、CVE-2018-20251、CVE-2018-20252、CVE-2018-20253

漏洞等級

高危

受影響版本

發(fā)布時間早于5.70 Beta 1版本的WinRAR軟件；

使用unacev2.dll動態(tài)共享庫的解壓、文件管理類工具軟件。

解決方案

1．使用WinRAR軟件的用戶：WinRAR廠商已發(fā)布新版本修復(fù)此漏洞，CNVD建議立即升級至最新版本。

2．其他解壓、文件管理類軟件是否受影響的判斷方法：用戶可通過檢查軟件安裝目錄下是否存在unacev2.dll文件進(jìn)行判斷。

3．建議用戶不要打開來歷不明的壓縮文件。

參考鏈接

https://www.win-rar.com/download.html

https://research.checkpoint.com/extracting-code-execution-from-winrar/