พบช่องโหว่ใน WinRAR ที่สามารถ bypasses Windows Mark of the Web security alerts ได้
ช่องโหว่ใน WinRAR อาจถูกผู้ไประสงค์ดีนำไปใช้เพื่อหลีกเลี่ยงกลไกการแจ้งเตือนความปลอดภัยของ Windows ที่เรียกว่า Mark of the Web (MotW) และนำไปสู่การรันโค้ดอันตรายบนเครื่องปลายทางได้Mark of the Web (MotW) เป็นฟีเจอร์ด้านความปลอดภัยของระบบปฏิบัติการ Windows ซึ่งทำหน้าที่ระบุไฟล์ที่มาจากแหล่งภายนอก (เช่น การดาวน์โหลดจากอินเทอร์เน็ต) โดยการแนบ metadata ที่เรียกว่า ‘zone-identifier’ ลงใน Alternate Data Stream ของไฟล์ เพื่อเตือนผู้ใช้ก่อนเปิดใช้งาน หรือเรียกใช้ไฟล์ดังกล่าว เมื่อผู้ใช้เปิดไฟล์ประเภท Executable ที่มีแท็ก Mark of the Web (MotW) ระบบปฏิบัติการ Windows จะแสดงข้อความเตือนว่าไฟล์ดังกล่าวถูกดาวน์โหลดมาจากอินเทอร์เน็ตและอาจเป็นอันตราย พร้อมทั้งให้ผู้ใช้เลือกว่าจะดำเนินการเปิดไฟล์ต่อหรือยกเลิกการทำงานดังกล่าว ช่องโหว่นี้ถูกติดตามด้วยรหัส CVE-2025-31334 ซึ่งส่งผลกระทบต่อ WinRAR ทุกเวอร์ชัน ยกเว้นเวอร์ชันล่าสุด (7.11)
ช่องโหว่ CVE-2025-31334 อาจเปิดโอกาสให้ผู้ไประสงค์ดี สามารถ bypass การแจ้งเตือนของ Mark of the Web (MotW) ได้ในกรณีที่เปิดไฟล์ symbolic link (symlink) ซึ่งบ่งชี้ไปยังไฟล์ executable บน WinRAR เวอร์ชันก่อนหน้าเวอร์ชัน 7.11 ผู้ไม่ประสงค์ดีสามารถใช้ symlink ที่ถูกสร้างขึ้นโดยเฉพาะเพื่อรันโค้ดที่เป็นอันตรายได้
คำแนะนำ
- อัปเดต WinRAR เป็นเวอร์ชัน 7.11 หรือเวอร์ชันที่ใหม่กว่า ซึ่งได้มีการแก้ไขช่องโหว่เรียบร้อยแล้ว
- หลีกเลี่ยงการเปิดไฟล์ .rar หรือ .zip ที่ได้รับจากอีเมลไม่พึงประสงค์ หรือจากแหล่งที่ไม่สามารถตรวจสอบได้ หากจำเป็นต้องเปิด ควรสแกนไฟล์ด้วยโปรแกรมป้องกันไวรัสก่อนเสมอ
ผู้ดูแลระบบควรตรวจสอบและป้องกันการใช้งาน symlink โดยไม่ได้รับอนุญาตภายในเครื่องหรือระบบเครือข่าย