【概要】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
備考 |
|---|---|---|---|---|---|---|---|---|
| 2023/08/17 | 2023/08/14 | CVE-2023-40477 | NVD | RARLab | 7.8(ZDI) |
https://www.zerodayinitiative.com/advisories/ZDI-23-1152/ | ||
| 2023/08/23 | 2023/07/25 | CVE-2023-38831 | NVD | RARLab | 7.8(NVD) |
- | - | https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/ |
【最新情報】
◆ウクライナを狙う脅威アクター「UAC-0099」、WinRARを悪用してサイバー攻撃 (マイナビニュース, 2023/12/28 08:47)
https://news.mynavi.jp/techplus/article/20231228-2851344/
⇒ https://vul.hatenadiary.com/entry/2023/12/28/000000
【ニュース】
■2019年
◆老舗の圧縮解凍ソフト「WinRAR」に19年以上前から存在する脆弱性が発覚 (Gigazine, 2019/02/21 11:06)
https://gigazine.net/news/20190221-winrar-security-flaw/
⇒ https://vul.hatenadiary.com/entry/2019/02/21/000000
◆人気の圧縮・解凍ソフト「WinRAR」に脆弱性、アップデートを (マイナビニュース, 2019/02/22 17:23)
https://news.mynavi.jp/article/20190222-775563/
⇒ https://vul.hatenadiary.com/entry/2019/02/22/000000
◆老舗圧縮解凍ソフト「WinRAR」の脆弱性を狙う「悪意あるアーカイブファイル」の実例はこんな感じ (Gigazine, 2019/02/28)
https://gigazine.net/news/20190228-winrar-exploit/
⇒ https://vul.hatenadiary.com/entry/2019/02/28/000000_1
◆WinRARで見つかった「19年間放置されていた脆弱性」の正体は? (TechTarget, 2019/03/14 05:00)
WinRARの全バージョンに、2000年よりも前から存在していたとみられる脆弱性が発見され、修正された。数億人ともいわれるWinRARユーザーが、修正パッチを受け取れるかどうかは不透明だ
https://techtarget.itmedia.co.jp/tt/news/1903/14/news11.html
⇒ https://vul.hatenadiary.com/entry/2019/03/14/000000
◆WinRAR Multiple Security Vulnerabilities (Security Focus, 2019/02/05)
https://www.securityfocus.com/bid/106948
⇒ https://vul.hatenadiary.com/entry/2019/03/21/080928
■2023年
◆老舗圧縮解凍ソフト「WinRAR」でファイルを開くだけで任意コード実行を可能にする脆弱性が発見される、すでに修正版が配布済み (Gigazine, 2023/08/21 11:15)
https://gigazine.net/news/20230821-winrar-cve-2023-40477/
⇒ https://vul.hatenadiary.com/entry/2023/08/21/000000
◆WinRARに任意コード実行の脆弱性、ただちにアップデートを (マイナビニュース, 2023/08/21 18:22)
https://news.mynavi.jp/techplus/article/20230821-2753054/
⇒ https://vul.hatenadiary.com/entry/2023/08/21/000000_2
◆WinRAR zero-day exploited since April to hack trading accounts (BleepingComputer, 2023/08/23 09:53)
[WinRARのゼロデイが4月から悪用され、取引口座がハッキングされる]
https://www.bleepingcomputer.com/news/security/winrar-zero-day-exploited-since-april-to-hack-trading-accounts/
⇒ https://vul.hatenadiary.com/entry/2023/08/23/000000
◆ウクライナを狙う脅威アクター「UAC-0099」、WinRARを悪用してサイバー攻撃 (マイナビニュース, 2023/12/28 08:47)
https://news.mynavi.jp/techplus/article/20231228-2851344/
⇒ https://vul.hatenadiary.com/entry/2023/12/28/000000
【公開情報】
◆Extracting a 19 Year Old Code Execution from WinRAR (Check Point, 2019/02/20)
https://research.checkpoint.com/extracting-code-execution-from-winrar/
⇒ https://vul.hatenadiary.com/entry/2019/02/20/000000_1
【ExploitCode】
◆CVE-2018-20250-WinRAR-ACE
Proof of concept code in C# to exploit the WinRAR ACE file extraction path (CVE-2018-20250).
https://github.com/blau72/CVE-2018-20250-WinRAR-ACE
⇒ https://vul.hatenadiary.com/entry/2019/03/02/000000
【関連まとめ記事】
◆アプリケーション (まとめ)
https://vul.hatenadiary.com/entry/Application
