压缩软件WinRAR发布7.23版本,修复内存溢出与路径遍历漏洞

发布时间:2026-07-03 00:01

  WinRAR 现已发布 7.23 新版更新,主要修复了两项安全漏洞,分别涉及内存安全问题以及符号链接处理机制缺陷,影响范围涵盖 WinRAR 本体及其相关组件 RAR 和 UnRAR。官方建议用户尽快升级,以降低潜在风险。

  这次修复的两项漏洞目前尚未分配 CVE 编号,也没有公布 CVSS 严重性评分,官方目前仅提供了简要的漏洞成因和影响说明。

  其中第一项漏洞属于堆缓冲区溢出问题,源头出在 WinRAR 用于修复损坏压缩包的“恢复卷”机制。黑客可设计特殊 RAR5 格式恢复数据文件,让 WinRAR 尝试重建损坏数据时触发内存损坏,进而导致程序异常崩溃。虽然目前官方说明仅提到程序崩溃风险,但这类内存破坏漏洞在理论上也可能被进一步利用,形成更严重的攻击链。

  第二项漏洞则涉及符号链接处理逻辑。WinRAR 在特殊 RAR 压缩包时,可能创建指向解压目标目录之外的符号链接,从而带来路径遍历风险。黑客可以利用这一缺陷让解压过程把文件写入用户指定目录之外的位置,进而植入恶意程序。针对这一问题,WinRAR 7.23 新版增加了额外的路径校验机制,用于阻止解压过程通过符号链接将文件写入目标目录之外。

  整体来看,这次修复虽然没有公开详细技术细节,也尚未看到漏洞被实际利用的案例,但由于相应漏洞本身属于内存破坏和路径遍历两类典型高风险性质,尤其 WinRAR 作为 Windows 平台使用率极高的压缩工具,一旦存在的漏洞被黑客用于实战,影响面可能相当广。因此用户应当尽快升级至 WinRAR 7.23 ,从而提升设备安全性。

排行

精选