一款極受歡迎的 Windows 工具近期已釋出更新,以修補一個零時差(zero-day)漏洞,該漏洞可能讓惡意人士有機可乘,在舊版本應用程式中安裝惡意軟體。這款應用程式就是 WinRAR,一款因壓縮品質與實用性而成為 Windows PC 常用工具的檔案壓縮程式。
據 WinRAR 開發團隊分享的貼文,所有 WinRAR 使用者都應該要儘速更新至 7.13 版。此版本修補了一個「遍歷漏洞」(traversal vulnerability),該漏洞可能讓 WinRAR 以及 Windows 與 Unix 版本的 RAR、UnRAR、可攜式 UnRAR,在開啟「特別設計的壓縮檔」時,被誘騙使用壓縮檔中指定的路徑,而非使用者設定的路徑。換句話說,這可能讓惡意人士觸發一條路徑,使電腦下載並解壓縮惡意軟體,而不是你原本要解壓縮的檔案。
你是不是已經很久沒更新 WinRAR 了?
儘管是網路上最受歡迎的壓縮工具之一,但實際上許多下載過 WinRAR 的使用者很少花時間去更新它。雖然 WinRAR 在技術上屬於付費應用,但它提供 30 天免費試用期,而試用期結束後並不會真的鎖住功能,而是每次啟動時跳出購買提示視窗。不過由於可以直接關閉這個視窗,多數人會在試用期後繼續長期使用。
由於多數人並非每天都需要解壓縮檔案,因此你可能很久沒打開 WinRAR,但這並不代表可以拖延更新。雖然目前沒有跡象顯示該零時差漏洞已被積極利用,但惡意人士未來可能會加以嘗試,畢竟過去類似漏洞曾被大量濫用。因此,當應用程式的新版本修復了此類零時差漏洞時,最好盡快更新以確保安全。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
