Хакеры нашли способ превратить каждый ZIP в бомбу — спасибо, WinRAR

WinRAR устранил серьёзную уязвимость , из-за которой вредоносные программы могли запускаться сразу после распаковки заражённого архива. Проблема получила идентификатор CVE-2025-6218 и оценку 7,8 балла по шкале CVSS, что соответствует высокому уровню угрозы.

Эта уязвимость была обнаружена специалистом по имени whs3-detonator и официально зарегистрирована через платформу Zero Day Initiative 5 июня 2025 года. Ошибка затрагивает только Windows-версии WinRAR, начиная с версии 7.11 и всех более ранних. Для защиты пользователей уже доступно исправление — оно включено в версию WinRAR 7.12 beta 1, опубликованную накануне.

Как поясняется в описании обновления, ранее программы WinRAR, Windows-версии RAR, UnRAR, а также исходный код portable UnRAR и библиотека UnRAR.dll могли быть обмануты при распаковке специально подготовленного архива. Вредоносный архив мог содержать файлы с поддельными относительными путями, благодаря чему файлы тихо распаковывались не туда, куда их хотел поместить пользователь, а, например, в системные директории или папки автозапуска Windows.

В случае, если такие файлы оказываются вредоносными, они могут автоматически активироваться при следующем входе пользователя в систему. Хотя такие программы работают с правами пользователя, а не администратора или системы, этого достаточно для кражи конфиденциальных данных вроде сохранённых паролей и куки браузера, а также для установки скрытых механизмов удержания доступа или организации дальнейшего перемещения внутри сети.

Опасность CVE-2025-6218 немного ограничена тем, что для её эксплуатации необходимо участие пользователя — он должен сам открыть вредоносный архив или перейти по специально созданной ссылке. Однако учитывая повсеместное распространение WinRAR и разнообразие способов доставки заражённых архивов, реальная угроза остаётся высокой.

Вместе с устранением CVE-2025-6218 в новой версии WinRAR исправлена и другая проблема — внедрение HTML-кода при формировании отчётов. Эту уязвимость обнаружил специалист Марцин Бобрык. Она позволяла внедрять произвольный HTML или JavaScript в итоговый отчёт, если имя файла внутри архива содержало специальные символы вроде «<» или «>». При открытии такого отчёта в браузере могла происходить несанкционированная вставка кода.

Кроме того, обновление решает два менее значимых бага — неполную проверку томов восстановления и потерю точности временных меток для файлов Unix.

Хотя уязвимость CVE-2025-6218 не затрагивает версии для Unix, Android и portable UnRAR, разработчики рекомендуют всем пользователям, независимо от платформы, как можно скорее обновить программы до последней версии.

На данный момент сообщений об активной эксплуатации CVE-2025-6218 нет. Однако учитывая широкое распространение WinRAR по всему миру и многолетний интерес хакеров к этому ПО, специалисты настоятельно советуют не откладывать обновление.