來自伊朗的獨立安全研究員Mohammad Reza Espargham透過資安郵件論壇Full disclosure揭露了WinRAR中SFX模組的一項重大安全漏洞，該漏洞允許駭客遠端執行惡意程式，目前尚無CVE編號。不過，WinRAR卻不認為這是個安全漏洞，認為沒有修補的必要。

WinRAR為一支援Windows的檔案壓縮管理軟體，能將檔案壓縮成RAR或ZIP格式，也能解開不同格式的壓縮檔。它還有支援Android的程式，以及支援Linux、FreeBSD與Mac OS X的命令列版本，估計全球用戶數已超過5億。目前最新的正式版為今年2月發表的WinRAR 5.21，並正在測試WinRAR 5.30。

據Espargham說明，WinRAR SFX 5.21正式版中含有一個遠端程式執行漏洞，該漏洞存在於「文字與圖示」功能中的「Text to display in SFX window」模組中，駭客在產生自己的SFX檔案時可藉此嵌入惡意程式碼，只要使用者開啟惡意的SFX檔就能觸發攻擊行動。

而在使用者端，只要開啟惡意檔案就馬上遭受攻擊，無需其他互動或高級權限，Espargham亦已公布針對此一漏洞的概念性攻擊程式。

SFX的全名為self-extracting（自解壓縮檔），這也是一個執行檔，不需其他軟體就能自行解壓縮，除了含有壓縮檔案之外，也內含許多可自動執行的解壓縮指示，以協助使用者將檔案放置在正確的位置。

根據資安業者MalwareBytes的說明，駭客在建立SFX檔案時，可在Text to display in SFX window中加入HTML語法，使用者開啟SFX時就會執行該語法。

WinRAR很快便提出說明指出，舉凡是執行檔都有潛在的危險，WinRAR的SFX檔案跟其他的執行檔並無不同，使用者都必須確保執行檔來源的可信度。

WinRAR認為，使用者並不容易判斷SFX檔案中可執行的部份是來自於WinRAR的SFX模組或是其他程式碼，任何惡意程式都能嵌入到SFX檔案夾（archive)的執行模組中並傳送給使用者，所以討論SFX檔案的漏洞是沒有意義的。

WinRAR還說，限制SFX模組的HTML功能只會傷害到正規使用者，但對於防治壞人卻一點作用也沒有。就算修補這類漏洞亦無太大幫助，因為SFX就像任何執行檔一樣，皆具備潛在的安全風險，而且SFX的自動執行能力是安裝軟體所需的官方功能。WinRAR也表示，我們只能提醒使用者，要開啟任何執行檔時，包括SFX，一定要確定是來自可靠來源的檔案。（編譯/陳曉莉）

． WinRAR官方說明