近日,一個與 WinRAR 壓縮軟體相關的重大安全漏洞被曝出,可能讓攻擊者在受害者的電腦上執行惡意代碼。該漏洞名為 CVE-2025-6218,由安全研究人員「whs3-detonator」通過 Trend Micro 的 Zero Day Initiative 平台發現。漏洞的核心在於 WinRAR 在處理壓縮檔案中的目錄路徑時存在的問題,攻擊者可藉由設計惡意壓縮檔案,繞過預設目錄限制,進一步操控系統文件或訪問受限目錄。
此漏洞被評為 CVSS 7.8 的高危級別,對用戶資料的機密性和系統完整性威脅極大。儘管攻擊需要用戶的互動才能觸發,但一旦成功,可能導致敏感數據洩露或系統完全失效。WinRAR 背後的開發公司 RARLAB 已迅速對此做出應對,並在最新的 WinRAR 7.12 Beta 1 更新中修補了該漏洞。受影響的版本包括 WinRAR 7.11 及更早版本,Windows 平台上的 RAR 和 UnRAR 等相關工具。而 Unix 和 Android 版本則未受波及。專家強烈建議用戶立即手動更新至修復版本,以保障系統安全。
WinRAR 擁有超過 5 億用戶,成為攻擊者的潛在目標並不意外。今年 4 月,該軟體曾因執行未經 Windows 安全提示(MotW)的內容而遭批評,當時的漏洞也已在 WinRAR 7.11 中獲得修補。這次事件再次提醒用戶,定期更新軟體以避免遭受潛在威脅的重要性。
