WinRAR 近期发布了 7.13 版本,修复了一项名为 CVE-2025-8088 的目录遍历漏洞。 资安研究机构ESET的报告指出,攻击者已在野外积极利用此漏洞,对用户构成潜在威胁。
漏洞细节与攻击手法
ESET 的研究人员 Anton Cherepanov、Peter Košinár 和 Peter Strýček 说明,此漏洞存在于 UNRAR.dll 这一个处理文件解压缩的核心函式库中。 攻击者会精心制作恶意压缩文件,诱骗软件将文件写入攻击者选定的位置,而非使用者指定的目录。 当用户解压缩文件时,旧版 WinRAR、Windows 版 RAR、UnRAR、便携式 UnRAR 源代码以及 UNRAR.dll 都可能被特制的压缩文件中的路径所欺骗,进而覆盖用户指定的路径。 攻击者利用此漏洞将恶意负载植入敏感的系统位置,例如启动文件夹。 通过将可执行文件放置于 %APPDATA%MicrosoftWindowsStart MenuProgramsStartup 路径下,恶意程式码会在使用者登入时自动执行,让攻击者在受感染的机器上远程执行程式码。 据信这些攻击背后的组织是 RomCom 黑客组织。 RomCom 恶意软件是一种远程存取木马 (RAT),至少从 2022 年就已开始使用。 该组织通过社交工程手段欺骗用户,有时甚至会伪装成 KeePass 等热门软件的官方网站,诱骗用户下载安装程序,进而同时安装 RAT。 RomCom 黑客组织过去主要针对乌克兰和数个北约国家发动攻击。
历史问题与防护建议
这并非 WinRAR 今年首次面临此类安全问题。 此前,WinRAR 已在 7.12 版本中修复了另一个类似的目录遍历漏洞 (CVE-2025-6218),该漏洞影响 7.11 或更早的 WinRAR 版本。 由于 WinRAR 没有内置的自动更新机制,所有用户都必须手动前往官方网站安装 7.13 版本以确保安全。 WinRAR 开发人员表示,Unix 版本的 RAR 和 UnRAR,以及适用于 Android 的 RAR 则不受此漏洞影响。
