WinRAR上周被曝出一個高危安全漏洞，惡意攻擊者可以在SFX自解壓模塊中嵌入特定的HTML代碼，從而在用戶打開時執行任意代碼。

[[151181]]

Vulnerability Lab和Malwarebytes將此漏洞的危險系數定為9.2(滿分為10)，認為它十分嚴重，最新的WinRAR5.21版本也存在，會讓5億多用戶面臨安全威脅，所以第一時間通知了開發商RARLabs。

但是，RARLabs卻并不在乎，在一份官方聲明中稱：

“惡意攻擊者將任何可執行文件偽裝成壓縮文件，發給用戶。僅此一點，就使得討論SFX文件漏洞毫無用處。在SFX模塊中尋找或修復這種漏洞也是沒有任何意義的，因為和任何exe文件一樣，SFX文件本身對用戶的系統而言就是危險的，用戶也必須確保SFX文件來自可信賴渠道才能運行它。SFX可以靜默運行其中包含的任何可執行文件，這是軟件安裝所需要的官方功能。”

簡單地說，RARLabs認為，任何程序都可以創建、壓縮成自解壓文件，在解壓的時候自動運行，這并不是SFX本身的錯。

RARLabs進一步表示：“限制SFX模塊里的HTML功能會傷害需要全部功能的合法用戶，但無力阻攔惡意攻擊者，他們可以使用SFX模塊的舊版本、基于UnRAR源代碼的自制模塊、自己的代碼或者可執行文件。我們只能再次提醒用戶，運行可執行文件的時候，不管是不是SFX，都要確保來自可信賴渠道。”

嗯是的，不會有任何修復補丁或升級版本，大家要自行承擔風險。