WinRAR ilovasini darhol yangilang!
WinRAR’da aniqlangan xavfli zaiflik sababli zararli dasturlar foydalanuvchi faqat arxivni ochgan zahoti ishga tushishi mumkin edi. Ushbu zaiflik CVE-2025-6218 identifikatori ostida ro‘yxatdan o‘tgan bo‘lib, CVSS reyting tizimida 7.8 ball bilan baholangan — bu tahdid darajasining yuqori ekanini anglatadi.
Zaiflik whs3-detonator taxallusi ostida faoliyat yurituvchi mutaxassis tomonidan aniqlangan va Zero Day Initiative platformasi orqali 2025-yil 5-iyun kuni rasmiy ravishda e’lon qilingan. Xatolik faqat Windows operatsion tizimi uchun mo‘ljallangan WinRAR versiyalariga taalluqli bo‘lib, u 7.11 versiyasidan boshlab barcha avvalgi versiyalarni qamrab oladi. Xavfsizlik muammosini bartaraf etuvchi yamoq allaqachon chiqdi — u WinRAR 7.12 beta 1 versiyasiga kiritilgan.
Yangi versiya tavsifida qayd etilishicha, ilgari WinRAR, RAR’ning Windows talqini, UnRAR va UnRAR.dll kutubxonasi, shuningdek, portable versiyalari maxsus tayyorlangan arxiv fayllarini ochishda chalg‘itilishi mumkin bo‘lgan. Mazkur zaiflik orqali arxivga joylashtirilgan fayllar soxta nisbiy yo‘llar (relative paths) orqali foydalanuvchi xohlagan joy emas, balki Windows’ning muhim tizim papkalari yoki avtomatik ishga tushirish kataloglariga yashirin tarzda chiqarilishi mumkin edi.
Agar bunday fayllar zararli bo‘lsa, ular foydalanuvchi keyingi safar tizimga kirganida avtomatik ishga tushadi. Dastur tizim administratorining emas, foydalanuvchining huquqlari bilan ishga tushsa-da, bu **maxfiy ma’lumotlar (masalan, brauzerdagi cookie va saqlangan parollar)**ni o‘g‘irlash, tizimga yashirin kirish mexanizmlarini o‘rnatish yoki korporativ tarmoq ichida kengaytirilgan harakatlar qilish uchun yetarli hisoblanadi.
CVE-2025-6218 zaifligi foydalanuvchi ishtirokini talab qiladi — ya’ni tahdid ishga tushishi uchun foydalanuvchi zararli arxivni ochishi yoki maxsus tayyorlangan havolaga o‘tishi lozim. Biroq, WinRAR dasturining keng tarqalganligi va zararli arxivlar yuborish usullarining ko‘pligi real xavfni jiddiy darajada oshiradi.
Mazkur yangilanish CVE-2025-6218 bilan bir qatorda yana bir muammoni ham bartaraf etadi — hisobotlar shakllantirishda HTML kodini kiritish imkoni. Bu zaiflikni Marcin Bobryk aniqlagan. Unga ko‘ra, agar arxiv ichidagi fayl nomi < yoki > kabi belgilarni o‘z ichiga olsa, hosil bo‘lgan hisobotga ixtiyoriy HTML yoki JavaScript kodi joylashtirilishi mumkin edi. Hisobot brauzerda ochilganda, bu kod ruxsatsiz ishga tushishi ehtimoli mavjud edi.
Bundan tashqari, yangilanish yana ikki nisbatan kamroq darajadagi xatoni ham bartaraf etadi:
- tiklash tomlarini (recovery volumes) to‘liq tekshirmaslik,
- Unix tizimlarida vaqt tamg‘asining (timestamp) aniqligini yo‘qotish.
CVE-2025-6218 zaifligi Unix, Android va portable UnRAR versiyalariga ta’sir qilmaydi. Shunga qaramay, ishlab chiquvchilar barcha foydalanuvchilarga — foydalanayotgan platformasidan qat’i nazar — WinRAR’ni imkon qadar tezroq yangilashni qat’iy tavsiya qilmoqda.
Ayni paytda mazkur zaiflik real hujumlarda ishlatilganiga doir hech qanday holat qayd etilmagan. Biroq, WinRAR’ning global darajada mashhurligi va xakerlar tomonidan bu dasturga yillar davomida bildirilgan qiziqish hisobga olinsa, mutaxassislar yangilanishni kechiktirmaslikni alohida ta’kidlamoqda.
