A WinRAR új sebezhetősége utat nyitott a vírusoknak
Komoly sebezhetőségre derült fény a WinRAR Windowsos verziójában, amely lehetővé tette rosszindulatú programok automatikus elindulását egy ügyesen elkészített ZIP- vagy RAR-archívummal. A CVE-2025-6218 azonosítójú hiba 7,8-as súlyosságú minősítést kapott, és csak a 7.11-es vagy régebbi verziókat érinti. A javítás a WinRAR 7.12 beta 1 verzióban már elérhető, amelyet éppen tegnap adtak ki.
Hogyan támadható a WinRAR?
A régebbi WinRAR, valamint a Windowsos RAR- és UnRAR-komponensek könnyen becsaphatók egy speciálisan elkészített archívummal. Ezekben a támadók speciális útvonalakat rejtettek el, így a WinRAR kicsomagoláskor a felhasználó által megadott helyett a rendszer védett mappáiba – például a rendszerkönyvtárakba vagy az automatikusan induló programok közé – helyezheti a fájlokat. Ha ezek a fájlok kártékonyak, a következő Windows-bejelentkezéskor automatikusan elindulhatnak. Bár adminisztrátori jogosultságot nem kapnak, így is képesek lehetnek jelszavak, böngésző sütik ellopására, tartós jelenlét kiépítésére vagy akár távoli elérés biztosítására a támadók számára.
A felhasználók lustasága veszélyforrás
A támadáshoz szükséges a felhasználó közreműködése – például egy fertőzött archívum megnyitása vagy egy speciális weboldal felkeresése. Sokan azonban elavult programverziókat használnak, ráadásul a fertőzött archívumok terjesztése rendkívül egyszerű, így a veszély továbbra is jelentős.
A 7.12 beta 1 nemcsak a fő veszélyforrást orvosolta, hanem egy HTML-injektálási hibát is, amellyel akár kártékony kódot lehetett volna beilleszteni egy, a WinRAR által generált jelentésbe, ha a fájlnév tartalmazott karaktert. Emellett javították a helyreállító kötetek tesztelésével kapcsolatos hiányosságokat és az Unix rendszereken az időbélyegek pontosságvesztését is.
Mindenkinek azonnal frissítenie kell
Bár jelenleg nincs bizonyíték arra, hogy a CVE-2025-6218 sebezhetőséget aktívan kihasználnák, a WinRAR globális elterjedtsége miatt minden felhasználónak – függetlenül az operációs rendszertől – érdemes a legfrissebb verzióra váltania. A sebezhetőség csak Windows alatt működik, de a frissítés minden platformon erősen ajánlott.
2025, adrienne, www.bleepingcomputer.com alapján
filózó
Te szoktad rendszeresen frissíteni a programjaidat, vagy inkább halogatod?
Mit tennél, ha kaptál volna egy gyanús ZIP-fájlt?
Szerinted etikus dolog, ha valaki szándékosan kihasznál egy ilyen sebezhetőséget?
🚧 Az Egyesült Államok Közlekedésbiztonsági Hivatala most ultimátumot adott az önvezető autókat fejlesztő cégeknek: július végéig találják meg a megoldást arra, hogy a sofőr nélküli járművek ne zavarják a mentőket vészhelyzetekben...
🚨 Noha a Linux hosszú ideje az egyik legmegbízhatóbb operációs rendszerként él a köztudatban, a közelmúltban két súlyos sebezhetőség is napvilágra került, amelyek alapjaiban rengethetik meg a felhőszolgáltatók biztonságát...
🔬 A Cornell Egyetem kutatói új típusú, mikroszkopikus szilícium-dioxid nanorészecskéket fejlesztettek ki, amelyek képesek közvetlenül elpusztítani a prosztatarákos daganatokat, miközben egyidejűleg aktiválják a szervezet immunrendszerét is a rák elleni harcra...
💡 Grok 4.5 bemutatkozott, és jelentősen egyszerűsíti a bonyolult feladatok elvégzését. Kódírás, táblázatok és prezentációk készítése most egyetlen munkafolyamatba sűríthető anélkül, hogy újra és újra át kellene írni az utasításokat...
Több mint száz évvel Einstein elméletének megszületése után az asztrofizikusok ismét igazolták a nagy fizikus forradalmi gondolatát: a Föld valóban maga után húzza a téridőt, miközben kering a Nap körül...
A Samsung bemutatta első PCIe 6.0 szabványú üzleti SSD-jét, a PM1763-at, amelyet kifejezetten MI- és nagy teljesítményű számítógépes szerverekhez fejlesztettek...
💸 A Luxshare Precision Industry tőzsdei premierje csalódást okozott Hongkongban: a részvényárfolyam több mint 5 százalékot esett csütörtök reggel, annak ellenére, hogy a városban az idei év legnagyobb elsődleges nyilvános részvénykibocsátását (IPO) bonyolította le...
Újabb fordulóponthoz érkezett az MI-alapú hangkommunikáció: az OpenAI bemutatta a GPT-Live nevű megoldását, amely minden eddiginél természetesebb, párbeszédszerű beszélgetést tesz lehetővé a ChatGPT-vel...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Stack zero (iPhone/iPad)A Stack Zero alkalmazás beépített, Apple által támogatott dokumentum-szkennerével a papíralapú iratok digitalizálása rendkívül egyszerű és gyors...
🔎 A legutóbbi kiberbiztonsági vizsgálatok szerint veszélybe kerültek az amerikai és kanadai egyetemek kutatói: ismeretlen támadók gyenge pontokat fedeztek fel a Roundcube-levelezőszervereken, és ezt kihasználva fizikusokat, mérnököket, adminisztrátorokat, illetve asztrofizikával, részecskefizikával vagy nemzetbiztonsággal foglalkozó intézményeket is megcéloztak...
Otthon a tévézés már régen nem a magánszféráról szól. Az okostévék folyamatosan figyelik, mit nézel, majd ezt az adatot eladják más cégeknek, vagy éppen azért jelennek meg ugyanazok a hirdetések a telefonodon, a weben vagy a tévéden, amit előzőleg valamelyik online áruházban kerestél...
🔬 A Harvard Egyetem kutatói forradalmasítják a biotechnológiát: egy szilíciumchip már nemcsak információt dolgoz fel, hanem képes DNS-t is létrehozni...
💡 Régóta húzódó rejtély oldódott meg a kvantumfizika világában. Egy új elméleti keretrendszer először egyesíti két, egymásnak látszólag ellentmondó modellt arról, hogy miként viselkedik egy különösen szokatlan részecske a zsúfolt kvantumkörnyezetben...
Viharos nap a történelemben: pusztító földrengés Japánban, nagyhatalmi fordulatok Európában, mérföldkő a rabszolgaság felszámolásában, és modern kori sorsfordulók Dél-Szudán függetlenné válásáig...
Külön említést érdemel, hogy egy nemzetközi kutatócsoport forradalmi szimulációt dolgozott ki, amely mesterséges intelligenciát használ fel annak feltérképezésére, hogyan keletkeznek az univerzum legnehezebb elemei...
Ki gondolta volna, hogy az egyik legnépszerűbb sporttáplálék-kiegészítő nemcsak a testépítők kedvence lehet, hanem a rákkutatás egyik izgalmas eszközévé is válhat?..
Az OpenAI július 9-én világszerte elérhetővé teszi a GPT-5.6 három változatát, Solt, Lunát és Terrát, alig néhány héttel azt követően, hogy csak egy szűk kör kapott próbalehetőséget...
Általában nincs is jobb annál, mint egy hosszú, fárasztó nap után bedőlni az ágyba, előkapni a távirányítót, és megnézni az egyik kedvenc sorozatodat...