Уязвимость WinRar CVE-2025-8088

Знаю, что многие из вас использует WinRAR.

Может потому, что написал его наш с вами соотечественник Евгений Рошаль.
Может потому, что когда места было мало все старались сжать как можно плотнее,
а WinRar тогда был лидером.
Может потому, что раньше все поголовно его использовали.
И даже всякие пенсионные фонды и налоговые.
Короче так исторически сложилось.

Реалии сегодняшнего дня. Может не все ещё в курсе.

Информация от www.itsec.ru 29/01/26

Исправленная ещё в прошлом году уязвимость(CVE-2025-8088) в WinRAR до сих пор используется в атаках

Команда Google Threat Intelligence Group сообщила о масштабной эксплуатации критической уязвимости CVE-2025-8088 в популярном архиваторе WinRAR.

Речь идёт об ошибке обхода путей, которая позволяет через специально сформированные RAR-архивы записывать файлы в произвольные каталоги Windows, в том числе в папку автозагрузки, пишут в Securitylab. Для этого применяется механизм альтернативных потоков данных, когда вредоносный файл маскируется внутри безобидного документа, например PDF.

При открытии архива скрытый объект незаметно сохраняется в системной директории, а затем автоматически запускается при следующем входе пользователя в систему, обеспечивая закрепление в системе и дальнейшее развитие атаки.

По данным GTIG, эксплуатация CVE-2025-8088 началась уже 18 июля 2025 года, а исправление было выпущено компанией RARLAB 30 июля вместе с версией WinRAR 7.13. Однако низкая скорость обновления программного обеспечения у пользователей и организаций сделала эту уязвимость удобным инструментом для массовых атак.

Ссылка на статью полностью

Статья на SecurityLab

Единственное я не знаю насколько нужно глубоко открыть архив, чтобы это сработало.
Но как написано выше это работает даже на парковке при просмотре содержимого архива без распаковки.

Со старыми то вашими архивами ничего не случится.
Но если что 7z прекрасно просматривает архивы WinRar и распаковывает их тоже.

 

Не пользуюсь этим поделием уже >10 лет. Удивительно что при наличии 7-Zip на нём ещё кто-то сидит и даже покупает за деньги.

 

Я исходил и з того, что на сайте есть коллекционеры, которые часто ищут редкие вещи, ищут их по разным ресурсам.
Это и редкие игры и РОМы и описания игр, и обложки, да много чего.
И одно дело когда ты скачал архив, неисполняемый файл.

Никакой архив при просмотре своего содержимого ничего запускать не должен!
Ну это я так думал, до прошлого года)).

Но а теперь реалии таковы, что ты должен быть 100% уверен, что у тебя стоит антивирус, который эту штуку ловит.
Это сообщение скорее предупреждение остальным, тем кто не знает.

Да, я понимаю, что большинство наверно это знает. Но думаю найдется 10% для которых эта информация будет полезной.

Понятно, что когда у тебя свои старые архивы или из доверенных источников, то наверно можно не так напрягаться.

Я тоже в свое время перешел с WinRAR на 7z.
Но много каких процессов может быть завязано именно на WinRar.
Мы в своё время его очень активно использовали для создания архивов.

 

Winrar жмёт файлы в формат zip в разы быстрее (оптимизация под многоядерность однако) чем 7-zip.
Пользуюсь обоими.

 

@BolenB, А ты давно тестировал? Может все-таки от параметров зависит?

Я сейчас прямо вот проверил.

7zip у меня 2024 года v24.02
WinRar v7.20 относительно свежий.

Взял рабочий проект 47к файлов, общий размер 453М, есть и большие файлы (50% объема) и остальное достаточно мелкие и хорошо жмущиеся.
С одного SSD на другой время просто копирования проекта 1мин 30сек

Далее
1) 7zip (параметры по умолчанию) = 2мин 36сек размер архива = 170Мб
2) Winrar (параметры по умолчанию) = 11мин 35сек размер архива = 257Мб
3) Winrar (режим zip) = 11мин 01сек размер архива = 266Мб

4) 7zip (параметры изменены) = 1мин 50сек размер архива = 164Мб
5) 7zip (в режиме zip) = 57сек размер архива = 264Мб

Это мои личные тесты. Вы же можете проверить сами у себя.
Здесь конечно весь затык в количестве файлов, там где файлы большие оба идут очень быстро!

После первых тестов комп пришлось перезапускать, т.к. у меня драйвер SSD видимо кеширует и 3) и 5) получились сильно быстрее остальных.
Это важно сбрасывать кэш! Иначе второй тест у вас всегда будет быстрее первого.

Если хотите давайте ссылку на какой-нибудь образ. Могу протестировать на нем). Могу видео записать)

Пусть каждый пользуется тем, что ему больше нравится!)
Или подо что давно приспособился. Тема была создана, чтобы как-то аккуратнее к архивам относится на старых версиях архиваторов, или обновляться если есть возможность.

 

@OldWulf, а какой у тебя CPU?

 

Ксеон E5 16 х 2.6Hz.

Слушай, вот когда я тестил старые версии, то они на работе 8-мь ядер чуть ли не в 100% мне выводили, а сейчас как-то совсем не на 100.

 

Вы правы, зависит от параметров:
Тестировал на HDD. Сжимал: Файлов: 15 173; папок: 791. Размер: 27,1 ГБ.
Win10 x64. Процессор i5-9500F (6 ядер), RAM 24Гб.

WinRar 7.13 (Максимальное сжатие ZIP). Размер архива: 8 786 939 170. Время: 9м.42сек.
7-Zip 25.01 (5-Нормальное сжатие ZIP). Размер архива: 8 648 803 096. Время: 8м.56сек.
7-Zip 25.01 (9-Ultra сжатие ZIP). Размер архива: 8 583 194 566. Время: 26м.30сек.

7-zip в нормальном режиме сжимает в ZIP архив сильнее и быстрее чем WinRar.

 

@BolenB, Если тебя не затруднит, то ты можешь ту же папку сжать со следующими параметрами.

Архиватор - 7z
Формат архива - 7z
Уровень сжатия - Нормальный
Метод сжатия - LZMA2
Размер словаря - 96Мб
Размер слова - 128
Размер блока - 2Гб
Число потоков - 6 или (Максимально возможное, которое тебе доступно)
Если у твоего 7z есть опция "Solid archive" или "Непрерывный архив" то выставить и её.
Но у меня в последних версиях таких опций ни у 7z, ни у WinRar нет.

 

Забавно, что ты предупреждаешь об уязвимости WinRAR, при этом сам используешь 7zip 2024 года выпуска, где с тех пор нашли уже пару критических уязвимостей

 

В 90-е единственный известный архиватор с UI, а не с коммандной строкой. Поэтому вытеснил всех конкурентов.

 

Не поверишь, вчера уже обновил, как раз подумал, что у него библиотека распаковки-то старая)

А ещё он красивый!

 

Нет, GUI был не только у WinRAR, на вскидку помню WinZip ещё, но он как-то не прижился, потому что WinRAR умел почти во все современные ему форматы, которые сейчас уже никто не помнит. А всякие WinZIP, WinACE, WinARJ и т.п. только в свой формат. И, кстати, WinRAR я до сих пор пользуюсь, т.к. купил лицензию чёрт знает в какие времена. На "токсичные" архивы до сих пор не попадался, наверное потому что открываю только то, что сам сознательно скачиваю, а если в папке Downloads появляется что-то левое, а паче письма от неизвестных мне адресов, не открываю и удаляю.

 

Не, у RAR "UI" был ещё в DOS-версии, с менюшками из псевдографики, как в Norton Commander. Поэтому именно "UI", как корректно написал @Mov AX 0xDEAD, а не "GUI", как написал ты. А всякие DOS-овские LHA, ARJ и PKZIP/PKUNZIP такого не имели.

 

Знаю, но подумал про виндузёвые версии, сорри. Популярность к архиватору пришла уже на Windows, т.к. на DOS он был всего лишь одним из косого десятка архиваторов. Почему "был"? Он и сейчас есть, просто для DOS поддержка остановилась на версии 2.5

 

Так вроде они ещё какое-то время выпускали 32-битную DOS-версию (rar32.exe), и там уже UI не было, только командная строка. Зато работало быстрее и этот вариант ещё вроде более новые версии архивов поддерживал. Но потом её со временем прекратили выпускать.

 

UI это конечно прекрасно, но при дизайне формата .RAR был допущен серьезный промах - отсутствие каталога файлов, при том что в более раннем формате ZIP он уже был (возможно из-за патента на идею). Каталогом файлов разродились только в формате 5 версии, все предыдущие форматы при открытие rar файлов с медленных носителей было болью.