流行的壓縮管理工具 WinRAR 日前發布 6.23 正式版，  用以修複 CVSS 評分高達 7.8 分 / 10 分的 CVE-2023-40477 漏洞。

該漏洞由網絡安全公司 ZERO DAY INITIATIVE 於 2023 年 6 月 8 日報告，RARLAB 在 2023 年 8 月 2 日發布 WinRAR 6.23 正式版，8 月 17 日宣布這枚漏洞已經得到修複因此可以披露。

漏洞危害：

該漏洞位於 WinRAR 的 RAR4 恢複卷處理中，由於 WinRAR 沒有對用戶提供的數據進行充分驗證，這可能會導致內存訪問超出已分配的緩衝器末端，因此攻擊者可以構造特製的文件，在用戶打開文件時執行任意代碼，包括利用命令安裝惡意軟件。

此漏洞的關鍵在於攻擊者需要誘導目標用戶訪問惡意頁麵或者打開特製的惡意文件，要達成這一目的，攻擊者可以通過釣魚網站、釣魚郵件或者偽造 / 冒充各種破解軟件誘導用戶訪問或下載。

因此對於用戶來說不要在各種垃圾搜索引擎查找某些垃圾下載站，這些下載站摻雜的文件有一定概率存在威脅。

修複漏洞：

要解決該漏洞請用戶立即升級至 WinRAR 6.23 正式版，藍點網文件下載服務器已經提供 6.23 正式版的商業無廣告版，有需要的用戶可以點擊這裏下載：[下載] WinRAR 6.23 簡體中文正式版 商業版安裝許可證後無廣告彈窗