安全研究人员Mohammad Reza Espargham对此进行了概念验证(PoC),重现攻击需要手动步骤:“代码执行漏洞可被远程攻击者利用,而无需特殊权限下的系统用户账户或用户交互”。
不过RARLab却将之描述成“毫无用处”:
恶意的黑客可将任何预先考虑存档的可执行文件分发给用户,但讨论自解压格式(SFX)文档中的这个漏洞是毫无意义的。
在SFX模块中寻找或修复无用的漏洞也无甚用处,因为从用户计算机的设计上来说,任何exe格式的SFX文档都有潜在危险。
对于用户来说,在运行任何必须的SFX文档前,都请务必确认其来自某个可信任的来源。
SFX文档可静默运行包含其中的exe文件,这对软件安装程序来说是个必备的官方功能。
简而言之,RARLab的意思是任何程序都可以被创建和压缩,然后在解压时自动安装:
当然,限制SFX模块中的HTML功能会对合法用户带来伤害,且恶意自解压文件的创作者仍可利用旧版SFX模块、来自非UnRAR源代码的自定义模块、或者自建代码存档。
我们只能再次提醒用户,无论是否SFX文档,都应该确认其是否来自可信赖的来源。
如此看来,我们应该是不会看到任何“补丁”了。
Published under license from ITProPortal.com, a Net Communities Ltd Publication. All rights reserved.
[编译自:BetaNews]