Уязвимость в коде архиватора файлов WinRAR может быть использована для обхода предупреждения безопасности Mark of the Web (MotW) и выполнения произвольного кода на компьютере Windows.
Проблема безопасности получила идентификатор CVE-2025-31334 и затрагивает все версии WinRAR, за исключением последней версии — WinRAR 7.11.
Mark of the Web — это функция безопасности Windows, представленная в виде значения метаданных (альтернативный поток данных с именем «идентификатор зоны») для пометки потенциально небезопасных файлов, загруженных из Интернета.
При открытии исполняемого файла с тегом Mark of the Web система Windows предупреждает пользователя о том, что он был загружен из Интернета и может быть вредоносным, и предлагает возможность продолжить выполнение или прекратить его.
Символическая ссылка на исполняемый файл
Уязвимость CVE-2025-31334 позволяет обойти предупреждение безопасности Mark of the Web при открытии символической ссылки, указывающей на исполняемый файл в любой версии WinRAR до 7.11.
Злоумышленник может выполнить произвольный код, используя специально созданную символическую ссылку. Следует отметить, что символическую ссылку можно создать в Windows только с правами администратора.
Проблема безопасности получила среднюю оценку серьезности 6,8 и была исправлена в последней версии WinRAR, как отмечено
В журнале изменений WinRAR 7.11 сообщается:
Если символическая ссылка, указывающая на исполняемый файл, запускалась из оболочки WinRAR, исполняемые данные Mark of the Web игнорировались.
Об уязвимости сообщил Шимамин Тайхей (Shimamine Taihei) из Mitsui Bussan Secure Directions через Агентство по содействию информационным технологиям в Японии.
Японская группа реагирования на инциденты компьютерной безопасности координировала ответственное раскрытие информации с разработчиком WinRAR.
Начиная с версии 7.10, WinRAR предоставляет возможность удалять из альтернативного потока данных Mark of the Web информацию (например, местоположение, IP-адрес), которая может считаться риском для конфиденциальности.
В прошлом злоумышленники использовали обходные пути Mark of the Web для доставки различных вредоносных программ без выдачи предупреждения безопасности.
Недавно хакеры воспользовались такой уязвимостью в архиваторе 7-Zip, который не распространял Mark of the Web при двойном архивировании (архивировании файла в другой), чтобы запустить вредоносный дроппер Smokeloader.
Угрозы безопасности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?