旧版有重大安全漏洞，你的WinRAR该手动更新了

想必有许多Windows用户都会使用管理压缩文件共享软件WinRAR，但长久以来都不曾想过该更新它，但现在有个充分的理由告诉你该更新了，因为Google威胁分析小组（TAG）近期就发现旧版WinRAR存在一个安全漏洞，且多个由国家支持的黑客组织已积极地滥用这项漏洞。

该存在于WinRAR的漏洞为CVE-2023-38831；TAG发现网络犯罪组织在今年初开始利用CVE-2023-38831，虽然现在WinRAR已经针对这项漏洞发布补丁，但仍有许多用户会遭受恶意人士的侵害，原因在于WinRAR不会自动更新，用户必需要手动下载并安装修补程序。

恶意人士会如何利用WinRAR漏洞来侵害你的设备？当Windows用户打开ZIP格式中的PNG文件时，WinRAR漏洞就会允许攻击者执行任意的程序代码。TAG将这项安全漏洞描述为“WinRAR中的一个逻辑漏洞，在处理存挡时会导致无关的了时文件扩展，同时在尝试打开扩展名包含空格的文件时，Windows ShellExecute会出现一个怪异（quirks）。

这项漏洞自今年4月以来，也被用于针对加密货币交易账户。TAG指出，WinRAR漏洞的广泛利用凸显出尽管有补丁可以使用，但针对已知漏洞的利用可能仍非常有效。近期这些利用WinRAR漏洞的恶意活动也强调了补丁的重要性，且仍需要一些努力才能让用户可轻松保持软件安全与最新。

不过这也不是WinRAR第一次出现重大安全漏洞。早在2019年时，网络安全公司Check Point Research也发现WinRAR中有一个已存在19年历史的程序代码执行漏洞，可以让攻击者完全控制受害者的设备。

因此在WinRAR可以提供自动更新功能前，建议用户还是要手动下载WinRAR更新。

（首图来源：WinRAR）