WinRAR壓縮軟件曝高危漏洞

文/鄭先偉

2019年1～2月教育網(wǎng)運(yùn)行正常，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。

寒假期間網(wǎng)站類的安全事件數(shù)量仍然在高位運(yùn)行。

近期沒(méi)有新增特別需要關(guān)注的病毒和木馬，值得關(guān)注的仍然是敲詐類的病毒，隨著年后比特幣價(jià)格的反彈，這類病毒有可能會(huì)呈增加趨勢(shì)。因此，做好系統(tǒng)安全防護(hù)的同時(shí)也要盡量增加數(shù)據(jù)備份的數(shù)量。

近期新增嚴(yán)重漏洞評(píng)述：

1. 微軟1～2月的例行安全公告中共修補(bǔ)404個(gè)安全漏洞。受影響的產(chǎn)品包括：Windows 10 1809和 Windows Server2019（54個(gè)）、Windows 10 1803 和WindowsServer v1803（56個(gè) ）、Windows 10 1709 &WindowsServer v1709（55個(gè)）、Windows RT 8.1（24個(gè)）、Windows Server 2012（25個(gè)）等。建議用戶盡快使用Windows自動(dòng)更新功能進(jìn)行補(bǔ)丁更新。

2. ThinkPHP是一個(gè)免費(fèi)開(kāi)源、快速簡(jiǎn)單的面向?qū)ο蟮妮p量級(jí)PHP開(kāi)發(fā)框架。該框架常被用來(lái)進(jìn)行二次開(kāi)發(fā)，國(guó)內(nèi)應(yīng)用非常廣泛。1月初ThinkPHP發(fā)布了版本更新用于修補(bǔ)該系統(tǒng)中的一個(gè)遠(yuǎn)程漏洞，該漏洞存在于ThinkPHP框架對(duì)關(guān)鍵類Request的處理過(guò)程中，程序通過(guò)變量覆蓋實(shí)現(xiàn)對(duì)該類任意函數(shù)的調(diào)用，構(gòu)造相應(yīng)請(qǐng)求可對(duì)Request類屬性值進(jìn)行覆蓋，導(dǎo)致任意代碼執(zhí)行。攻擊者利用該漏洞，可在未經(jīng)授權(quán)的情況下，對(duì)目標(biāo)網(wǎng)站進(jìn)行遠(yuǎn)程命令執(zhí)行攻擊。建議使用了ThinkPHP搭建網(wǎng)站的管理員盡快進(jìn)行版本更新，以避免漏洞被遠(yuǎn)程利用。

2018年12～2019年2月安全投訴事件統(tǒng)計(jì)

3. 安全公司Qualys在1月披露了三個(gè)Linux系統(tǒng)systemd服務(wù)的安全漏洞，包括堆棧緩沖區(qū)溢出CVE-2018-16864、無(wú)限制內(nèi)存分配漏洞CVE-2018-16865以及越界錯(cuò)誤CVE-2018-16866。Systemd被默認(rèn)安裝在大部分的Linux發(fā)行版本中，因此這三個(gè)漏洞影響大部分的Linux版本。目前漏洞細(xì)節(jié)還沒(méi)有被公布，從Qualys公司披露的信息顯示這些漏洞已經(jīng)存在3～5年時(shí)間，并且CVE-2018-16866漏洞在2018年系統(tǒng)其他更新過(guò)程中被無(wú)意中修復(fù)了，利用這些漏洞可以獲取Linux系統(tǒng)的root權(quán)限，目前廠商已經(jīng)發(fā)布了安全補(bǔ)丁，用戶應(yīng)該盡快進(jìn)行版本更新。一個(gè)緩解因素是systemd沒(méi)有對(duì)外提供網(wǎng)絡(luò)服務(wù)接口，因此目前該漏洞只能在本地利用，后續(xù)的利用情況還需要繼續(xù)關(guān)注。

4. Oracle公司2019年第一季度的安全更新修復(fù)了其多款產(chǎn)品中存在的284個(gè)安全漏洞，其中133個(gè)屬于高危漏洞，238個(gè)可以遠(yuǎn)程利用。受影響的產(chǎn)品包括：Oracle Database Server數(shù)據(jù)庫(kù)（3個(gè)）、Oracle Health Sciences Applications（6個(gè) ）、OracleCommunications Applications（33個(gè)）、Oracle Construction and Engineering Suite（4個(gè)）、電子商務(wù)套裝軟件OracleE-Business Suite（16個(gè)）等。使用了Oracle公司產(chǎn)品的用戶應(yīng)該盡快進(jìn)行補(bǔ)丁更新。https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html。

5. 一個(gè)在WinRAR軟件中存在了19年的高危漏洞于2月下旬被披露出來(lái)，漏洞存在于WinRAR的UNACEV2.dll代碼庫(kù)中，這個(gè)代碼庫(kù)自2005年后就基本屬于無(wú)用狀態(tài)，但一直存在于軟件中，攻擊者只需在WinRAR中打開(kāi)“boobytrapped”(詭雷代碼)文件就能夠?qū)阂馕募鈮旱絎indows系統(tǒng)的啟動(dòng)文件夾中，當(dāng)系統(tǒng)重啟后惡意程序就會(huì)被執(zhí)行。目前該漏洞的攻擊代碼已經(jīng)被公布，WinRAR的官方已經(jīng)在新的版本中修復(fù)了該漏洞和其他幾個(gè)類似的漏洞，如果還在使用老的WinRAR版本，請(qǐng)盡快升級(jí)到最新版本，如果暫時(shí)無(wú)法升級(jí)，可以通過(guò)刪除系統(tǒng)中的UNACEV2.dll庫(kù)文件來(lái)防止漏洞被利用。

安全提示

WinRAR是一款常用的解壓軟件，使用的范圍非常廣泛，尤其是在內(nèi)部辦公網(wǎng)絡(luò)中也被大量使用。WinRAR軟件的漏洞可能給內(nèi)網(wǎng)帶來(lái)巨大的風(fēng)險(xiǎn)，攻擊者可以將包含惡意程序的壓縮包以擺渡（例如U盤(pán)）的形式傳進(jìn)內(nèi)部網(wǎng)絡(luò)中，而一般的防毒軟件很難檢測(cè)到壓縮包里的惡意程序。因此建議內(nèi)網(wǎng)的管理員盡快排查內(nèi)部系統(tǒng)中WinRAR軟件的使用情況，并采取相應(yīng)的風(fēng)險(xiǎn)緩解措施。