一款极受欢迎的Windows工具近期已发布更新,以修补一个零时差(zero-day)漏洞,该漏洞可能让恶意人士有机可乘,在旧版本应用程序中安装恶意软件。这款应用程序就是WinRAR,一款因压缩品质与实用性而成为Windows PC常用工具的文件压缩程序。
据WinRAR开发团队分享的贴文,所有WinRAR用户都应该要尽快更新至7.13版。此版本修补了一个“遍历漏洞”(traversal vulnerability),该漏洞可能让WinRAR以及Windows与Unix版本的RAR、UnRAR、便携式UnRAR,在打开“特别设计的压缩文件”时,被诱骗使用压缩文件中指定的路径,而非用户设置的路径。换句话说,这可能让恶意人士触发一条路径,使计算机下载并解压缩恶意软件,而不是你原本要解压缩的文件。
你是不是已经很久没更新WinRAR了?
尽管是网络上最受欢迎的压缩工具之一,但实际上许多下载过WinRAR的用户很少花时间去更新它。虽然WinRAR在技术上属于付费应用,但它提供30天免费试用期,而试用期结束后并不会真的锁住功能,而是每次启动时跳出购买提示窗口。不过由于可以直接关闭这个窗口,多数人会在试用期后继续长期使用。
由于多数人并非每天都需要解压缩文件,因此你可能很久没打开WinRAR,但这并不代表可以拖延更新。虽然目前没有迹象显示该零时差漏洞已被积极利用,但恶意人士未来可能会加以尝试,毕竟过去类似漏洞曾被大量滥用。因此,当应用程序的新版本修复了此类零时差漏洞时,最好尽快更新以确保安全。
(首图来源:pixabay)
