WinRAR 7.23 新版已于近日正式发布,本次更新重点修复了两项安全漏洞——分别涉及内存安全问题与符号链接处理机制,影响范围涵盖 WinRAR 本体以及 RAR、UnRAR 组件。官方已明确建议用户尽快升级,以降低潜在风险。

值得一提的是,此次修复的两项漏洞目前均尚未分配 CVE 编号,也未公布 CVSS 严重性评分。官方仅提供了简要的成因与影响说明,措辞略显克制,但漏洞本身的性质却不容忽视。
第一项漏洞属于堆缓冲区溢出问题,根源在于 WinRAR 用于修复损坏压缩包的“恢复卷”机制。攻击者可构造一个特制的 RAR5 格式恢复数据文件,当 WinRAR 尝试重建损坏数据时,便会触发内存损坏,进而导致程序异常崩溃。尽管官方说明目前仅提及程序崩溃风险,但这类内存破坏漏洞在理论上完全可能被进一步利用,形成更严重的攻击链条——这才是真正的隐患所在。
第二项漏洞则涉及符号链接的处理逻辑。WinRAR 在处理特定 RAR 压缩包时,可能创建指向解压目标目录之外的符号链接,从而带来路径遍历风险。攻击者可利用这一缺陷,使解压过程将文件写入用户指定目录之外的位置,进而植入恶意程序。针对此问题,WinRAR 7.23 新版本增加了额外的路径校验机制,用于阻止解压过程通过符号链接将文件写入目标目录之外——堪称一次精准的漏洞修补。
整体来看,本次修复虽然缺乏详细技术细节,目前也尚未观察到漏洞被实际利用的案例,但内存破坏与路径遍历本就是两类典型的高风险漏洞。尤其是 WinRAR 作为 Windows 平台上使用率极高的压缩工具,一旦被黑客盯上并投入实战,影响面很可能相当广泛。因此,强烈建议各位用户尽快升级至 WinRAR 7.23,将设备安全性拉满。
