事件通告 : WinRAR發布7.23版更新, 修補可能導致記憶體損毀與路徑遍歷攻擊的弱點, 建議請使用者儘速評估更新!
2026-07-02
風險等級: 低度威脅
摘  要:
【弱點說明】

事件通告 : WinRAR發布7.23版更新, 修補可能導致記憶體損毀與路徑遍歷攻擊的弱點, 建議請使用者儘速評估更新!

【影響範圍】

  • WinRAR 7.23 之前的版本

【細節描述】

WinRAR於6月30日發布新的7.23版,修補兩項弱點,分別涉及記憶體安全問題,以及符號連結(Symbolic Link)處理機制缺陷,影響WinRAR、RAR與UnRAR等工具,用戶應儘速更新。 WinRAR這次修補的兩項弱點,都尚未提供CVE編號與CVSS嚴重性評分,目前原廠僅提供簡略的弱點原因與影響說明。 第一項弱點屬於堆積緩衝區溢位(Heap Overflow)問題,源自用於修復受損壓縮檔的修復磁碟區(Recovery Volume)機制,攻擊者若製作惡意RAR5格式修復資料檔,可能導致WinRAR在重建資料時發生記憶體損毀,進而造成程式異常終止。 第二項弱點與符號連結處理有關。WinRAR在解壓縮特製RAR壓縮檔時,可能建立指向解壓縮目的資料夾外部的符號連結,存在路徑遍歷(Path Traversal)攻擊的風險。新版則增加額外檢查機制,避免解壓縮作業透過符號連結將檔案寫入目的資料夾外部。 HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。 https://hisecure.hinet.net/secureinfo/hotnews.php

【建議措施】

建議請使用者評估更新到最新版本 : WinRAR 更級到 7.23 (含)之後版本


參考資訊: iThome