WinRAR上周被曝出一個(gè)高危安全漏洞，惡意攻擊者可以在SFX自解壓模塊中嵌入特定的HTML代碼，從而在用戶打開時(shí)執(zhí)行任意代碼。

[[151181]]

Vulnerability Lab和Malwarebytes將此漏洞的危險(xiǎn)系數(shù)定為9.2(滿分為10)，認(rèn)為它十分嚴(yán)重，最新的WinRAR5.21版本也存在，會(huì)讓5億多用戶面臨安全威脅，所以第一時(shí)間通知了開發(fā)商RARLabs。

但是，RARLabs卻并不在乎，在一份官方聲明中稱：

“惡意攻擊者將任何可執(zhí)行文件偽裝成壓縮文件，發(fā)給用戶。僅此一點(diǎn)，就使得討論SFX文件漏洞毫無用處。在SFX模塊中尋找或修復(fù)這種漏洞也是沒有任何意義的，因?yàn)楹腿魏蝒xe文件一樣，SFX文件本身對(duì)用戶的系統(tǒng)而言就是危險(xiǎn)的，用戶也必須確保SFX文件來自可信賴渠道才能運(yùn)行它。SFX可以靜默運(yùn)行其中包含的任何可執(zhí)行文件，這是軟件安裝所需要的官方功能。”

簡單地說，RARLabs認(rèn)為，任何程序都可以創(chuàng)建、壓縮成自解壓文件，在解壓的時(shí)候自動(dòng)運(yùn)行，這并不是SFX本身的錯(cuò)。

RARLabs進(jìn)一步表示：“限制SFX模塊里的HTML功能會(huì)傷害需要全部功能的合法用戶，但無力阻攔惡意攻擊者，他們可以使用SFX模塊的舊版本、基于UnRAR源代碼的自制模塊、自己的代碼或者可執(zhí)行文件。我們只能再次提醒用戶，運(yùn)行可執(zhí)行文件的時(shí)候，不管是不是SFX，都要確保來自可信賴渠道。”

嗯是的，不會(huì)有任何修復(fù)補(bǔ)丁或升級(jí)版本，大家要自行承擔(dān)風(fēng)險(xiǎn)。