零日计划发现的严重 WinRAR 漏洞可能允许黑客在您的 PC 上执行任意代码。用户应安装最新的 WinRAR 更新（版本 6.23）来修复此漏洞。请注意，WinRAR 不提供自动更新，因此必须手动安装此版本。

该漏洞编号为 CVE-2023-40477，允许黑客在目标打开恶意 RAR 存档时执行任意代码。根据零日计划的公开警告，“此问题是由于缺乏对用户提供的数据进行适当验证而导致的，这可能会导致内存访问超出已分配缓冲区的末尾。” RARLAB 表示该缺陷位于 WinRAR 的“恢复卷处理代码”中，但没有进一步详细说明。

由于此特定漏洞需要用户交互，因此它已获得 CVSS 的 7.8 严重评级。这不是一个“严重”漏洞，但如果您是那种从肮脏网站下载随机 RAR 存档的人，您应该非常认真地对待这个问题。截至撰写本文时，没有证据表明黑客在现实世界中利用了 CVE-2023-40477，不过随着该漏洞已成为公众所知，情况可能会发生变化。作为参考，RARLAB 和零日计划仅揭示了此漏洞的存在 – 他们没有确切解释它是如何执行的。

请注意，WinRAR 过去曾受到类似漏洞的影响。该软件缺乏自动更新，这对 IT 部门来说是理想的选择，但事实证明，这对普通用户来说有点令人头疼。好消息是 Windows 11 正在开发原生 RAR 支持，或者您可以使用其他第三方软件打开 .rar 文件，例如 7-Zip。如果您今天想测试 Windows 11 的原生 RAR 支持，您必须是 Windows Insider。

要修补此漏洞，请下载最新的 WinRAR 版本，或检查您是否拥有版本 6.32 或更高版本。即使您不担心这个特定的漏洞，更新 WinRAR 也会修复以前的错误和漏洞。假设您已经好几年没有更新了，它还可能提供一些 UI 改进。