一、漏洞详情
winrar是一款功能强大的压缩包管理软件,可以使用它创建和解压常见的压缩包格式,如rar和zip等类型。
winrar windows试用版5.70被公开披露可能存在远程代码执行漏洞(cve-2021-35052),远程攻击者可以通过拦截和修改发送给应用程序用户的请求,最终实现在受害者的计算机上远程执行任意代码。
对该漏洞的研究源于mshtml(又名trident)所呈现的javascript错误,mshtml是目前已停用的internet explorer的专有浏览器引擎,在office中用于呈现word、excel和powerpoint文档中的web内容,发现在winrar windows 5.70试用期满后启动应用程序时,错误窗口每三次显示一次。
通过拦截winrar提醒用户免费试用期结束时发送的响应代码,并将其修改为“301 moved permanently”重定向消息,发现该漏洞可以被滥用来为所有后续请求缓存重定向到攻击者控制的恶意域。除此之外,已经能够访问同一网络域的攻击者可以执行arp欺骗攻击,以远程启动应用程序、检索本地主机信息,甚至运行任意代码。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
winrar windows 5.70试用版
三、修复建议
目前漏洞已经公开披露,建议受影响的用户使用官方授权正版版本。
下载链接:http://www.winrar.com.cn/
