國外安全機構check point披露,著名解壓縮軟體winrar存在乙個上古級別的安全漏洞,該漏洞一旦被黑客利用,黑客就能將惡意程式植入使用者電腦的開機程式中,該漏洞在2023年便已經存在。
winrar是windows平台上最為知名的解壓縮軟體,它能解壓縮rar、zip、7z、ace等多種壓縮格式的軟體。目前該軟體官網稱其在全球有超過5億的使用者。
chick point的安全團隊利用winael模糊測試工具來檢測winrar的安全漏洞,總共找出cve-2018-20250、cve-2018-20251、cve-2018-20252、cve-2018-20253等4個安全漏洞,這些安全漏洞的前三個均與ace壓縮格式有關,另外乙個則是越界寫入漏洞。
研究人員稱,用來解析ace文件的unacev2.dll存在乙個目錄穿越漏洞,該漏洞允許攻擊者將壓縮文件解壓到任何目錄中,完全無視目標資料夾的各種限制。攻擊者只需要新建乙個ace壓縮檔案,並誘導使用者開啟,這就能將惡意程式通過目錄穿越漏洞放到windows啟動檔案中,系統一旦啟動,惡意程式便會自動執行。
由於winrar中用於解壓ace文件的unacev2.dll是由第三方開發,從2023年開始,這一第三方庫就沒有再更新過,winrar官方也無法獲得原始碼,winrar決定放棄對這一格式的支援。在未來推出的winrar 5.7版本中,ace格式支援將正式停止。
Augur被曝重大漏洞
去中心化 市場平台 augur 被曝發現重大漏洞,黑客可據此向使用者傳送被篡改的網頁並騙取使用者代幣。幸好該漏洞被漏洞眾測平台 hackerone 的研究人員發現,目前 augur 官方已修補了漏洞。這類漏洞被稱為框架劫持 frame jacking 它操縱 html 來控制 augur 客戶端如何...
支付寶曝重大漏洞 交易記錄可被搜尋
原始碼庫 www.aspku.com 3月31日訊息 支付寶曝出重大漏洞 使用谷歌 360搜尋則可以搜尋出大量的支付寶交易記錄,包括付款賬戶 收款賬戶 姓名 日期等。該漏洞截至28日零點,360等搜尋引擎已經無法搜尋到相關結果,不過google.com.hk仍能搜尋出2300餘條記錄。只要在搜尋引擎...
Android曝重大漏洞,小分隊已掌握其技術細節
北京時間7月4日晚間訊息,流動網路安全公司bluebox security周四宣布,在android作業系統中發現重大安全漏洞,可能影響到當前99 的android裝置。bluebox security稱,該漏洞自四年前的android 1.6 donut 就已經存在。它允許惡意開發人員修改合法ap...