WinRAR修補目錄走訪漏洞，防止攻擊者濫用解壓縮植入惡意程式

WinRAR官方釋出7.12版本，修補目錄走訪漏洞CVE-2025-6218。該漏洞可能使攻擊者透過特製壓縮檔，在Windows系統上植入惡意程式碼威脅用戶安全。此問題僅影響Windows平臺，Unix及Android等其他作業系統版本則不受影響。

CVE-2025-6218漏洞由資安研究人員whs3-detonator通報，官方公告指出，此漏洞主要影響WinRAR、RAR、UnRAR、UnRAR.dll及其Windows版可攜原始碼。攻擊者可透過特製壓縮檔案，操控檔案於解壓縮時的儲存路徑，進而將檔案寫入目標系統中的敏感目錄，像是Windows啟動資料夾。當使用者在未察覺情況下開啟並解壓縮這類特製檔案時，惡意程式可能被寫入Windows啟動資料夾，導致於下次開機時自動執行。

這項漏洞僅影響Windows作業系統相關版本，其他平臺如Unix、Android並未受到影響。值得注意的是，漏洞需經由使用者操作如開啟或解壓縮來源不明的壓縮檔案才能被濫用，並非自動觸發型攻擊。

WinRAR官方已針對該漏洞進行修補，並在7.12版本同步解決另一項產生報表功能的HTML標籤注入問題。此外，7.12更新也提升了備份容錯機制及跨平臺檔案時間精度的處理能力，有助於用戶強化檔案備份與管理的完整性。官方公告呼籲Windows上的WinRAR用戶，盡速下載並安裝最新版本，以防範未經授權的程式碼執行風險。