CVE-2023-40477 的危險程度評分,雖然因為必須由使用者開啟檔案才能運作,所以分數僅有 7.8 分(滿分為 10 分),但是由於要誘使使用者開啟惡意檔案,在實作上並不困難,且 WinRAR 在 Windows 使用者中的普及率極高,是使用量非常大的常用工具軟體,因此這個漏洞造成的資安風險不容忽視。
發現該漏洞的 Zero Day Initiatives,在 2023 年 6 月 8 日將本漏洞通報給 WinRAR 的開發廠商 RARLAB,RARLAB 則是在近 2 個月後的 8 月 2 日推出新版的 WinRAR 6.23,解決了 CVE-2023-40477 這個漏洞。
RARLAB 這次發表的 WinRAR 6.23 版本,同時也修復了另一個由 Group-IB 發現的資安漏洞,駭侵者可利用特製的 RAR 壓縮檔讓用戶開啟錯誤的檔案。
- CVE 編號:CVE-2023-40477
- 影響產品:WinRAR 6.23 先前版本。
- 解決方案:立即更新 WinRAR 至 6.23 與後續版本。