WinRAR上周被曝出一个高危安全漏洞，恶意攻击者可以在SFX自解压模块中嵌入特定的HTML代码，从而在用户打开时执行任意代码。

Vulnerability Lab和Malwarebytes将此漏洞的危险系数定为9.2(满分为10)，认为它十分严重，最新的WinRAR 5.21版本也存在，会让5亿多用户面临安全威胁，所以第一时间通知了开发商RARLabs。

但是，RARLabs却并不在乎，在一份官方声明中称：

“恶意攻击者将任何可执行文件伪装成压缩文件，发给用户。仅此一点，就使得讨论SFX文件漏洞毫无用处。在SFX模块中寻找或修复这种漏洞也是没有任何意义的，因为和任何exe文件一样，SFX文件本身对用户的系统而言就是危险的，用户也必须确保SFX文件来自可信赖渠道才能运行它。SFX可以静默运行其中包含的任何可执行文件，这是软件安装所需要的官方功能。”

简单地说，RARLabs认为，任何程序都可以创建、压缩成自解压文件，在解压的时候自动运行，这并不是SFX本身的错。

RARLabs进一步表示：“限制SFX模块里的HTML功能会伤害需要全部功能的合法用户，但无力阻拦恶意攻击者，他们可以使用SFX模块的旧版本、基于UnRAR源代码的自制模块、自己的代码或者可执行文件。我们只能再次提醒用户，运行可执行文件的时候，不管是不是SFX，都要确保来自可信赖渠道。”

嗯是的，不会有任何修复补丁或升级版本，大家要自行承担风险。