WinRAR壓縮軟件曝高危漏洞

文/鄭先偉

2019年1～2月教育網運行正常，未發現影響嚴重的安全事件。

寒假期間網站類的安全事件數量仍然在高位運行。

近期沒有新增特別需要關注的病毒和木馬，值得關注的仍然是敲詐類的病毒，隨著年后比特幣價格的反彈，這類病毒有可能會呈增加趨勢。因此，做好系統安全防護的同時也要盡量增加數據備份的數量。

近期新增嚴重漏洞評述：

1. 微軟1～2月的例行安全公告中共修補404個安全漏洞。受影響的產品包括：Windows 10 1809 和 Windows Server2019（54個）、Windows 10 1803 和WindowsServer v1803（56個 ）、Windows 10 1709 &WindowsServer v1709（55個）、Windows RT 8.1（24個）、Windows Server 2012（25個）等。建議用戶盡快使用Windows自動更新功能進行補丁更新。

2. ThinkPHP是一個免費開源、快速簡單的面向對象的輕量級PHP開發框架。該框架常被用來進行二次開發，國內應用非常廣泛。1月初ThinkPHP發布了版本更新用于修補該系統中的一個遠程漏洞，該漏洞存在于ThinkPHP框架對關鍵類Request的處理過程中，程序通過變量覆蓋實現對該類任意函數的調用，構造相應請求可對Request類屬性值進行覆蓋，導致任意代碼執行。攻擊者利用該漏洞，可在未經授權的情況下，對目標網站進行遠程命令執行攻擊。建議使用了ThinkPHP搭建網站的管理員盡快進行版本更新，以避免漏洞被遠程利用。

2018年12～2019年2月安全投訴事件統計

3. 安全公司Qualys在1月披露了三個Linux系統systemd服務的安全漏洞，包括堆棧緩沖區溢出CVE-2018-16864、無限制內存分配漏洞CVE-2018-16865以及越界錯誤CVE-2018-16866。Systemd被默認安裝在大部分的Linux發行版本中，因此這三個漏洞影響大部分的Linux版本。目前漏洞細節還沒有被公布，從Qualys公司披露的信息顯示這些漏洞已經存在3～5年時間，并且CVE-2018-16866漏洞在2018年系統其他更新過程中被無意中修復了，利用這些漏洞可以獲取Linux系統的root權限，目前廠商已經發布了安全補丁，用戶應該盡快進行版本更新。一個緩解因素是systemd沒有對外提供網絡服務接口，因此目前該漏洞只能在本地利用，后續的利用情況還需要繼續關注。

4. Oracle公司2019年第一季度的安全更新修復了其多款產品中存在的284個安全漏洞，其中133個屬于高危漏洞，238個可以遠程利用。受影響的產品包括：Oracle Database Server數據庫（3個）、Oracle Health Sciences Applications（6個 ）、OracleCommunications Applications（33個）、Oracle Construction and Engineering Suite（4個）、電子商務套裝軟件OracleE-Business Suite（16個）等。使用了Oracle公司產品的用戶應該盡快進行補丁更新。https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html。

5. 一個在WinRAR軟件中存在了19年的高危漏洞于2月下旬被披露出來，漏洞存在于WinRAR的UNACEV2.dll代碼庫中，這個代碼庫自2005年后就基本屬于無用狀態，但一直存在于軟件中，攻擊者只需在WinRAR中打開“boobytrapped”(詭雷代碼)文件就能夠將惡意文件解壓到Windows系統的啟動文件夾中，當系統重啟后惡意程序就會被執行。目前該漏洞的攻擊代碼已經被公布，WinRAR的官方已經在新的版本中修復了該漏洞和其他幾個類似的漏洞，如果還在使用老的WinRAR版本，請盡快升級到最新版本，如果暫時無法升級，可以通過刪除系統中的UNACEV2.dll庫文件來防止漏洞被利用。

安全提示

WinRAR是一款常用的解壓軟件，使用的范圍非常廣泛，尤其是在內部辦公網絡中也被大量使用。WinRAR軟件的漏洞可能給內網帶來巨大的風險，攻擊者可以將包含惡意程序的壓縮包以擺渡（例如U盤）的形式傳進內部網絡中，而一般的防毒軟件很難檢測到壓縮包里的惡意程序。因此建議內網的管理員盡快排查內部系統中WinRAR軟件的使用情況，并采取相應的風險緩解措施。