WinRAR 的安全漏洞允许恶意软件在 Windows 启动时被安装

Windows 版 WinRAR 被发现存在一个严重的安全漏洞，用户应立即更新到最新版。该漏洞编号为 CVE-2025-8088，已被实际网络钓鱼攻击利用。攻击者可以利用该漏洞制作恶意存档文件，将内容放置在受害者系统中未经授权的位置，包括启动时自动执行程序的 Windows 文件夹。

一旦将恶意文件放置在这些文件夹中，它就可以安装恶意软件或打开隐藏的后门，而无需用户采取任何进一步的行动。

正常情况下，WinRAR 应该只将文件提取到用户指定的目标文件夹中。然而，这个漏洞（被归类为路径遍历漏洞）可能会诱使软件将文件放置在高度敏感的系统位置，例如单个用户或计算机上所有用户的 Windows 启动文件夹。

放置在这些位置的恶意软件会在计算机每次重启时自动运行，从而使攻击者能够持续控制设备。此问题会影响 Windows 版本的 WinRAR 及相关工具，包括 RAR、UnRAR、便携式 UnRAR 源代码和 UnRAR.dll。Unix 或 Android 版本不受影响。

该漏洞由 ESET 安全研究人员 Anton Cherepanov、Peter Košinár 和 Peter Strýček发现。他们的调查显示，名为 RomCom（又名 Storm-0978、Tropical Scorpius 或 UNC2596）的黑客组织已积极利用该漏洞进行鱼叉式网络钓鱼攻击。

在这些攻击中，受害者收到了包含受感染 RAR 文件的电子邮件。当使用旧版 WinRAR 打开这些恶意文件时，它们会部署 RomCom 恶意软件，该恶意软件可以窃取敏感信息、安装其他恶意软件，并长期隐藏访问受感染系统。

RomCom 与俄罗斯网络间谍活动有关，并以利用未公开的软件漏洞进行间谍活动和勒索软件攻击而闻名。其恶意软件通常使用加密通信，隐藏在合法的系统工具中，旨在逃避安全检测。

为了解决此问题，WinRAR 开发人员于 2025 年 7 月 30 日发布了 7.13 Final 版本。此更新阻止存档文件将内容放置在用户指定的提取位置之外，并修复了一些不相关的小错误。但是，WinRAR 不会自动更新——用户必须从官方网站手动下载并安装新版本。

WinRAR 在全球拥有超过 5 亿用户，是网络犯罪分子的重点攻击目标。这并非近几个月来该软件出现的第一个安全漏洞；早在 2025 年，另一个涉及恶意存档文件的漏洞也已得到修补。

安全专家强调保持 WinRAR 更新的重要性。他们还建议谨慎打开来自未知发件人的电子邮件附件，使用能够检测存档文件中隐藏威胁的防病毒软件，并定期检查启动文件夹中是否存在不熟悉的文件，因为这些文件是常见的恶意软件入口点。