WinRAR 漏洞：攻击者利用 ANSI Escape 序列欺骗用户

在广泛使用的 Windows 文件压缩工具 WinRAR 中，发现了一个严重的安全漏洞。这个漏洞被称为 CVE202436052，影响所有版本的 WinRAR，直至 699 版。这一漏洞的发现突显了在提取 ZIP 档案等看似无害的操作中可能存在的风险。

漏洞工作原理

根据 Siddharth Dushantha 的说法，漏洞源于 WinRAR 对 ZIP 档案中档案名称的不当验证和清理过程。这一失误使攻击者能够利用 ANSI 转义序列来改变档案名称的显示方式。

对于不熟悉的读者，ANSI 转义序列是一组控制文本在命令行环境中显示特性的代码，通常以 ESC 字符开始，然后跟随一个括号。

当用户提取一个包含恶意档案其档名使用这些序列的 ZIP 档案时，WinRAR 错误地将这些代码解读为命令。这可能导致显示出具有欺骗性的档案名称，使用户误以为他们正在打开的是一个无害的档案，如 PDF 或图片。

当一个毫无防备的用户试图打开看似无害的档案时，就会发生漏洞利用。由于对档案扩展名的处理存在缺陷，该程式会错误地执行一个隐藏的恶意脚本，而不是预期的档案。

这个脚本可以是批次档bat或命令档cmd，它会在用户的电脑上安装恶意软体，同时显示一个诱导的文档来掩盖恶意活动。

这一问题非常重要，因为它允许攻击者在用户的系统上执行有害的脚本，可能导致未经授权的数据访问、系统损坏或在不知情的情况下安装恶意软体。

需要注意的是，这一问题特定于 Windows 版本的 WinRAR，与影响 Linux 和 UNIX 版本的 CVE202433899 不同。Linux 和 UNIX 版本的 WinRAR 用户面临类似的萤幕输出伪装和拒绝服务攻击的风险。

为了防范这一漏洞，建议用户升级至 700 版本或更新的 WinRAR，因为这些版本包含必要的修复。此外，用户在打开来自未知来源的档案时应保持谨慎，并在 Windows 设定中启用档案扩展名可见性，以进一步保护自己免受此类威胁。