Уязвимость в коде архиватора файлов WinRAR может быть использована для обхода предупреждения безопасности Mark of the Web (MotW) и выполнения произвольного кода на компьютере Windows.
Проблема безопасности получила идентификатор CVE-2025-31334 и затрагивает все версии WinRAR, за исключением последней версии — WinRAR 7.11.
Mark of the Web — это функция безопасности Windows, представленная в виде значения метаданных (альтернативный поток данных с именем «идентификатор зоны») для пометки потенциально небезопасных файлов, загруженных из Интернета.
При открытии исполняемого файла с тегом Mark of the Web система Windows предупреждает пользователя о том, что он был загружен из Интернета и может быть вредоносным, и предлагает возможность продолжить выполнение или прекратить его.
Символическая ссылка на исполняемый файл
Уязвимость CVE-2025-31334 позволяет обойти предупреждение безопасности Mark of the Web при открытии символической ссылки, указывающей на исполняемый файл в любой версии WinRAR до 7.11.
Злоумышленник может выполнить произвольный код, используя специально созданную символическую ссылку. Следует отметить, что символическую ссылку можно создать в Windows только с правами администратора.
Проблема безопасности получила среднюю оценку серьезности 6,8 и была исправлена в последней версии WinRAR, как отмечено
В журнале изменений WinRAR 7.11 сообщается:
Если символическая ссылка, указывающая на исполняемый файл, запускалась из оболочки WinRAR, исполняемые данные Mark of the Web игнорировались.
Об уязвимости сообщил Шимамин Тайхей (Shimamine Taihei) из Mitsui Bussan Secure Directions через Агентство по содействию информационным технологиям в Японии.
Японская группа реагирования на инциденты компьютерной безопасности координировала ответственное раскрытие информации с разработчиком WinRAR.
Начиная с версии 7.10, WinRAR предоставляет возможность удалять из альтернативного потока данных Mark of the Web информацию (например, местоположение, IP-адрес), которая может считаться риском для конфиденциальности.
В прошлом злоумышленники использовали обходные пути Mark of the Web для доставки различных вредоносных программ без выдачи предупреждения безопасности.
Недавно хакеры воспользовались такой уязвимостью в архиваторе 7-Zip, который не распространял Mark of the Web при двойном архивировании (архивировании файла в другой), чтобы запустить вредоносный дроппер Smokeloader.
Угрозы безопасности
• Cloudflare отражает рекордное число DDoS-атак в 2025 году
• Уязвимость в Linux-интерфейсе io_uring позволяет скрытым руткитам обходить защиту
• Французские власти снова пытаются получить доступ к сообщениям в Telegram
• Опасный вирус SuperCard X ворует данные карт через NFC на Android, обходя защиту антивирусов
• Расширения Chrome с 6 миллионами установок содержат скрытый код отслеживания
• Apple устранила две уязвимости нулевого дня, которые использовались в атаках на iPhone