WinRAR软件中发现一处漏洞，可被利用来绕过Windows的“网络标记”安全警告，从而在Windows系统上执行恶意代码。该漏洞影响WinRAR的早期版本，允许攻击者通过特制的符号链接执行任意代码。虽然该漏洞的中等严重性已在WinRAR最新版本中得到修复，但提醒用户及时更新WinRAR至7.11或更高版本，以确保系统安全。此漏洞与此前7-Zip压缩工具中的类似漏洞相似，都可能被用于投放恶意软件，构成潜在的安全威胁。

⚠️ CVE-2025-31334漏洞存在于WinRAR早期版本中，允许攻击者绕过Windows的“网络标记”安全警告。该漏洞通过符号链接实现，导致恶意代码得以执行。

🔗 该漏洞影响所有WinRAR版本，除了最新的7.11版本。Windows的“网络标记”是一种安全功能，用于标记从互联网下载的文件，提醒用户潜在风险。

🛠️ 漏洞已在WinRAR 7.11版本中修复。WinRAR的更新版本现在可以忽略从WinRAR shell启动的指向可执行文件的符号链接的MotW数据。

🔓 攻击者可能利用此漏洞投放恶意软件。此前，俄罗斯黑客曾利用7-Zip压缩工具中的类似漏洞投放Smokeloader恶意软件。

🛡️ 建议用户及时更新WinRAR至最新版本，以增强系统安全性。WinRAR 7.10版本开始，还提供了移除MotW信息的选项，以保护用户隐私。

HackerNews 编译，转载请注明出处：

2025年4月5日，Ionut Ilascu报道，WinRAR文件压缩解决方案中的一个漏洞可能被利用来绕过Windows的“网络标记”（Mark of the Web，MotW）安全警告，并在Windows机器上执行任意代码。

该安全问题被追踪为CVE-2025-31334，影响所有WinRAR版本，除了最新的7.11版本。

Windows的“网络标记”是一种安全功能，它通过一个元数据值（一个名为“区域标识符”的备用数据流）来标记从互联网下载的文件，以标识这些文件可能不安全。

当打开带有MotW标记的可执行文件时，Windows会警告用户该文件是从互联网下载的，可能有害，并提供继续执行或终止的选项。

CVE-2025-31334漏洞允许威胁行为者在打开指向可执行文件的符号链接（symlink）时绕过MotW安全警告，该符号链接在任何7.11版本之前的WinRAR中都存在。攻击者可以利用特制的符号链接执行任意代码。需要注意的是，在Windows上创建符号链接通常需要管理员权限。

该安全问题获得了6.8的中等严重性评分，并已在WinRAR的最新版本中修复，如WinRAR的应用程序变更日志中所指出的：

“如果从WinRAR shell启动指向可执行文件的符号链接，则忽略可执行文件的MotW数据” – WinRAR

该漏洞由三井物产Secure Directions的Shimamine Taihei通过日本的信息技术促进机构（IPA）报告。日本的计算机安全事件响应小组协调了与WinRAR开发者的负责任披露。

从7.10版本开始，WinRAR提供了从MotW备用数据流中移除信息的可能性（例如位置、IP地址），这些信息可能被视为隐私风险。

包括国家支持的威胁行为者在内的攻击者过去曾利用MotW绕过漏洞来投放各种恶意软件，而无需触发安全警告。

最近，俄罗斯黑客利用了7-Zip压缩工具中的类似漏洞，该漏洞在双重压缩（在一个文件内压缩另一个文件）时不会传播MotW，以运行Smokeloader恶意软件投放器。

 

---

消息来源：Bleeping Computer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文