СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Артем
6 апреля
#Уязвимости #Dev#ИБ

Уязвимость в WinRAR открыла возможности для обхода встроенных механизмов защиты Windows

Уязвимость в WinRAR открыла возможности для обхода встроенных механизмов защиты Windows

Image: Unsplash

Уязвимость в популярном архиваторе WinRAR открыла новые возможности для обхода встроенных механизмов защиты Windows, позволяя исполнять подозрительный код без стандартных предупреждений системы.

Проблема безопасности, получившая обозначение CVE-2025-31334, охватывает все сборки программы до версии 7.11 включительно. Наиболее свежий релиз лишён этого изъяна. Речь идёт о механизме под названием Mark of the Web, с помощью которого операционная система распознаёт потенциально опасные файлы, попавшие на устройство из интернета. Внутри таких объектов сохраняется дополнительная информация — метка «идентификатор зоны». При попытке запуска исполняемых файлов с этой меткой пользователь обычно видит предупреждение о возможной угрозе, а также выбор: продолжать выполнение или отказаться.

Новое уязвимое место в WinRAR даёт возможность обойти этот механизм. Всё дело в способе обработки символических ссылок. Если специально подготовленная ссылка направляет на исполняемый файл, система способна проигнорировать защитный маркер MotW, что открывает окно для выполнения нежелательного кода. Подчёркивается, что создать подобную символическую ссылку можно только при наличии прав администратора, но в ряде сценариев эта преграда может оказаться преодолимой.

Уровень опасности уязвимости был оценён в 6,8 по шкале CVSS — это средняя категория. В обновлении 7.11 разработчики устранили эту брешь, признав, что до исправления запуск через оболочку WinRAR не учитывал наличие метки безопасности у целевых файлов.

Обнаружил нестабильность исследователь Шимамин Тайхей, работающий в структуре Mitsui Bussan Secure Directions. Сведения были переданы в Японское агентство по развитию цифровых технологий (IPA), которое в свою очередь наладило координацию с разработчиком утилиты. В результате информация была раскрыта публично и с соблюдением установленных стандартов.

С версии 7.10 в архиватор добавлена возможность удалять часть содержимого из альтернативного потока данных, связанного с MotW. В том числе это касается сведений о местоположении, IP-адресе и других деталях, могущих затронуть приватность.

Дополнительная информация и полный технический отчёт размещены по ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: