สรุปสั้น
WinRAR 7.23 ได้ออกมาแก้ไขช่องโหว่ heap overflow ที่เพิ่งถูกเปิดเผยในโค้ดประมวลผล recovery volume ของรูปแบบ RAR5 ซึ่งถูกติดตามในรหัส CVE-2026-14191 โดยเป็นการปิดช่องโหว่หน่วยความจำเสียหายที่สามารถถูกกระตุ้นได้ด้วยข้อมูล recovery volume (.rev) ที่ถูกสร้างขึ้นมาโดยประสงค์ร้าย และอาจนำไปสู่การที่โปรแกรมล่มหรือถูกใช้เจาะต่อยอดได้ WinRAR 7.23 เป็นรุ่นบำรุงรักษาที่เน้นด้านความปลอดภัย โดยหลัก ๆ แก้ไขช่องโหว่สองรายการที่กระทบการจัดการและการแตกไฟล์อาร์ไคฟ์ ปัญหาที่ร้ายแรงที่สุดคือ heap overflow ในตรรกะการสร้างข้อมูลใหม่จาก recovery volume ของ RAR5 ซึ่งกระทบทั้งส่วนประกอบ WinRAR, RAR แบบ command-line และ UnRAR
นอกจากนี้ ในรุ่นนี้ผู้พัฒนายังเสริมความแข็งแกร่งให้การจัดการ symbolic link ระหว่างการแตกไฟล์ เพื่อลดความเสี่ยงจาก path traversal และอัปเดตไลบรารีการแตกไฟล์ 7z ที่มากับโปรแกรมให้รวมแพตช์ความปลอดภัยจากต้นทาง ช่องโหว่ CVE-2026-14191 อยู่ในโค้ดที่สร้างข้อมูลใหม่จาก RAR5 recovery volume ซึ่งเป็นไฟล์พิเศษที่ใช้ซ่อมอาร์ไคฟ์แบบหลายเล่มที่เสียหาย เมื่อประมวลผลข้อมูล recovery volume ที่ถูกสร้างมาเป็นพิเศษ อาจเกิดการเขียนนอกขอบเขตบน heap ทำให้โครงสร้างในหน่วยความจำเสียหายและทำให้ไบนารี WinRAR, RAR และ UnRAR ทำงานผิดปกติ
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 2 กรกฎาคม 2569 ว่า RARLAB ได้ปล่อย WinRAR 7.23 ซึ่งเป็นรุ่นบำรุงรักษาที่เน้นความปลอดภัย เพื่ออุดช่องโหว่ heap overflow CVE-2026-14191 ในโค้ดประมวลผล recovery volume ของ RAR5 ที่กระทบทั้ง WinRAR, RAR และ UnRAR ตามบันทึกการเปลี่ยนแปลงของ WinRAR ข้อมูล RAR5 recovery volume ที่ถูกสร้างมาเป็นพิเศษสามารถทำให้เกิดการเขียนนอกขอบเขตบน heap เมื่อถูกประมวลผล
ที่น่าสังเกตคือไลบรารี UnRAR.dll ที่แจกจ่ายโดย RARLAB ไม่ได้ทำหน้าที่ประมวลผล recovery volume จึงไม่ได้รับผลกระทบโดยตรงจากช่องโหว่นี้ ช่องโหว่ดังกล่าวได้รับเครดิตจากนักวิจัยความปลอดภัยชื่อ นาย Arjun Basnet จาก Securin Labs สะท้อนการตรวจสอบโค้ดประมวลผลอาร์ไคฟ์อย่างต่อเนื่อง เนื่องจากโค้ดเหล่านี้ถูกฝังอยู่ในแอปพลิเคชันของบุคคลที่สามและเกตเวย์อีเมลจำนวนมาก นอกเหนือจาก heap overflow แล้ว WinRAR 7.23 ยังเพิ่มความเข้มงวดในการจัดการ symbolic link ที่ชี้ออกนอกโฟลเดอร์ปลายทาง ซึ่งก่อนหน้านี้เปิดช่องให้อาร์ไคฟ์ที่ถูกสร้างมาเป็นพิเศษสร้าง symlink ไปยังเส้นทางภายนอกได้แม้ไม่เปิดออปชัน -ola และยังอัปเดตไลบรารี 7zxa.dll เป็นเวอร์ชัน 26.02 เพื่อรวมแพตช์ความปลอดภัยจาก 7-Zip
รายละเอียดช่องโหว่
CVE-2026-14191 เป็นช่องโหว่ heap overflow ที่อยู่ในโค้ดสร้างข้อมูลใหม่จาก RAR5 recovery volume ซึ่งเป็นไฟล์ .rev ที่ใช้ซ่อมอาร์ไคฟ์หลายเล่มที่เสียหาย เมื่อโปรแกรมประมวลผลข้อมูล .rev ที่ถูกออกแบบมาโดยประสงค์ร้าย จะเกิดการเขียนข้อมูลนอกขอบเขต (out-of-bounds write) บน heap ทำให้โครงสร้างในหน่วยความจำเสียหายและไบนารีทำงานผิดปกติ ในแง่การเจาะระบบ แฮ็กเกอร์ต้องหลอกให้ผู้ใช้หรือแอปพลิเคชันประมวลผลไฟล์ RAR5 recovery volume ที่เป็นอันตรายควบคู่กับอาร์ไคฟ์เป้าหมาย เช่น แจกจ่ายไฟล์ .rev ที่สร้างมาเป็นพิเศษพ่วงไปกับเนื้อหาที่ดูถูกต้อง
หากเจาะสำเร็จ อย่างน้อยจะทำให้เกิด denial-of-service จากการที่ WinRAR ล่ม และขึ้นอยู่กับพฤติกรรมของตัวจัดสรรหน่วยความจำและมาตรการป้องกันรอบข้าง อาจถูกนำไปเชื่อมต่อกับบั๊กอื่นเพื่อยกระดับสู่การรันโค้ดตามอำเภอใจ (arbitrary code execution) ได้ ช่องโหว่ประเภทนี้อันตรายเป็นพิเศษในสภาพแวดล้อมที่ฝัง UnRAR หรือ RAR ไว้เป็นเครื่องมือเบื้องหลัง เช่น เซิร์ฟเวอร์อีเมล ระบบสำรองข้อมูล หรือไปป์ไลน์ประมวลผลไฟล์ เพราะการซ่อมอาร์ไคฟ์อัตโนมัติอาจถูกกระตุ้นโดยที่ผู้ใช้ไม่รู้ตัว เมื่อพิจารณาว่าช่องโหว่ของ WinRAR เคยถูกใช้โจมตีจริงในแคมเปญที่หวังผลทางการเงินมาแล้ว การอัปเดตยูทิลิตี้อาร์ไคฟ์ให้ทันสมัยจึงกลายเป็นข้อกำหนดพื้นฐานในองค์กร
ผลกระทบต่อไทย
WinRAR เป็นหนึ่งในโปรแกรมบีบอัดไฟล์ที่คนไทยใช้กันแพร่หลายทั้งในองค์กรและผู้ใช้ทั่วไป ทำให้ฐานผู้ใช้ที่เสี่ยงมีจำนวนมาก แม้ช่องโหว่นี้จะต้องอาศัยการหลอกให้เปิดไฟล์ .rev ที่เป็นอันตราย แต่ก็สอดคล้องกับพฤติกรรมการโจมตีที่เคยเกิดกับ WinRAR มาก่อน คือส่งไฟล์อาร์ไคฟ์อันตรายมาทางอีเมลหรือช่องทางแชร์ไฟล์ องค์กรไทยที่ฝัง UnRAR หรือ RAR ไว้ในระบบเบื้องหลัง เช่น เซิร์ฟเวอร์อีเมล ระบบสำรองข้อมูล หรือระบบสแกนไฟล์อัตโนมัติ ยิ่งต้องระวังเป็นพิเศษ เพราะการประมวลผลอาจเกิดขึ้นเองโดยไม่มีผู้ใช้กดเปิด เมื่อพิจารณาว่าคนไทยจำนวนมากยังใช้ WinRAR เวอร์ชันเก่าที่ไม่ได้อัปเดต ความเสี่ยงจากช่องโหว่นี้จึงไม่ควรมองข้าม
คำแนะนำ
ผู้ใช้และผู้ดูแลระบบควรอัปเดต WinRAR, RAR และ UnRAR เป็นเวอร์ชัน 7.23 หรือใหม่กว่า โดยเฉพาะบนระบบที่ต้องประมวลผลอาร์ไคฟ์หรือ recovery volume ที่ไม่น่าเชื่อถือจากอินเทอร์เน็ต อีเมล หรือพื้นที่จัดเก็บที่แชร์ร่วมกัน องค์กรที่ฝัง UnRAR หรือ RAR ไว้ในเวิร์กโฟลว์ฝั่งเซิร์ฟเวอร์ควรตรวจสอบว่าไบนารีที่มากับระบบได้รับการอัปเกรดแล้ว และพิจารณาเฝ้าระวังไฟล์ RAR5 recovery volume ที่น่าสงสัยหรือผิดปกติในล็อกและตัวกรองเนื้อหาเพื่อเป็นมาตรการป้องกันเชิงรุก นอกจากนี้ควรหลีกเลี่ยงการเปิดไฟล์อาร์ไคฟ์และไฟล์ .rev ที่มาจากแหล่งที่ไม่รู้จัก และให้ความรู้ผู้ใช้ในองค์กรถึงความเสี่ยงจากไฟล์บีบอัดที่แนบมากับอีเมล
