WinRAR压缩软件曝高危漏洞

文/郑先伟

2019年1～2月教育网运行正常，未发现影响严重的安全事件。

寒假期间网站类的安全事件数量仍然在高位运行。

近期没有新增特别需要关注的病毒和木马，值得关注的仍然是敲诈类的病毒，随着年后比特币价格的反弹，这类病毒有可能会呈增加趋势。因此，做好系统安全防护的同时也要尽量增加数据备份的数量。

近期新增严重漏洞评述：

1. 微软1～2月的例行安全公告中共修补404个安全漏洞。受影响的产品包括：Windows 10 1809和 Windows Server2019（54个）、Windows 10 1803 和WindowsServer v1803（56个 ）、Windows 10 1709 &WindowsServer v1709（55个）、Windows RT 8.1（24个）、Windows Server 2012（25个）等。建议用户尽快使用Windows自动更新功能进行补丁更新。

2. ThinkPHP是一个免费开源、快速简单的面向对象的轻量级PHP开发框架。该框架常被用来进行二次开发，国内应用非常广泛。1月初ThinkPHP发布了版本更新用于修补该系统中的一个远程漏洞，该漏洞存在于ThinkPHP框架对关键类Request的处理过程中，程序通过变量覆盖实现对该类任意函数的调用，构造相应请求可对Request类属性值进行覆盖，导致任意代码执行。攻击者利用该漏洞，可在未经授权的情况下，对目标网站进行远程命令执行攻击。建议使用了ThinkPHP搭建网站的管理员尽快进行版本更新，以避免漏洞被远程利用。

2018年12～2019年2月安全投诉事件统计

3. 安全公司Qualys在1月披露了三个Linux系统systemd服务的安全漏洞，包括堆栈缓冲区溢出CVE-2018-16864、无限制内存分配漏洞CVE-2018-16865以及越界错误CVE-2018-16866。Systemd被默认安装在大部分的Linux发行版本中，因此这三个漏洞影响大部分的Linux版本。目前漏洞细节还没有被公布，从Qualys公司披露的信息显示这些漏洞已经存在3～5年时间，并且CVE-2018-16866漏洞在2018年系统其他更新过程中被无意中修复了，利用这些漏洞可以获取Linux系统的root权限，目前厂商已经发布了安全补丁，用户应该尽快进行版本更新。一个缓解因素是systemd没有对外提供网络服务接口，因此目前该漏洞只能在本地利用，后续的利用情况还需要继续关注。

4. Oracle公司2019年第一季度的安全更新修复了其多款产品中存在的284个安全漏洞，其中133个属于高危漏洞，238个可以远程利用。受影响的产品包括：Oracle Database Server数据库（3个）、Oracle Health Sciences Applications（6个 ）、OracleCommunications Applications（33个）、Oracle Construction and Engineering Suite（4个）、电子商务套装软件OracleE-Business Suite（16个）等。使用了Oracle公司产品的用户应该尽快进行补丁更新。https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html。

5. 一个在WinRAR软件中存在了19年的高危漏洞于2月下旬被披露出来，漏洞存在于WinRAR的UNACEV2.dll代码库中，这个代码库自2005年后就基本属于无用状态，但一直存在于软件中，攻击者只需在WinRAR中打开“boobytrapped”(诡雷代码)文件就能够将恶意文件解压到Windows系统的启动文件夹中，当系统重启后恶意程序就会被执行。目前该漏洞的攻击代码已经被公布，WinRAR的官方已经在新的版本中修复了该漏洞和其他几个类似的漏洞，如果还在使用老的WinRAR版本，请尽快升级到最新版本，如果暂时无法升级，可以通过删除系统中的UNACEV2.dll库文件来防止漏洞被利用。

安全提示

WinRAR是一款常用的解压软件，使用的范围非常广泛，尤其是在内部办公网络中也被大量使用。WinRAR软件的漏洞可能给内网带来巨大的风险，攻击者可以将包含恶意程序的压缩包以摆渡（例如U盘）的形式传进内部网络中，而一般的防毒软件很难检测到压缩包里的恶意程序。因此建议内网的管理员尽快排查内部系统中WinRAR软件的使用情况，并采取相应的风险缓解措施。