Dosya sıkıştırma ve arşivleme yazılımlarının en popülerlerinden biri olan WinRAR'da önemli bir güvenlik açığı keşfedildi. CVE-2025-6218 kimlik numarasıyla tanımlanan bu zafiyet, dizin geçişi (directory traversal) olarak bilinen bir yöntemle çalışıyor.
Bu açık, WinRAR'ın arşiv dosyaları içindeki dosya yollarını işleme biçiminden kaynaklanıyor. Kötü niyetli kişiler, özel olarak hazırlanmış arşiv dosyaları aracılığıyla kurbanın bilgisayarında zararlı kod çalıştırabilir. Saldırının başarılı olması için kullanıcının arşiv dosyasını açması gerekiyor, ancak saldırgan WinRAR'ın dosya çıkarma sırasında dosya yollarını manipüle ederek dosyaların normalde açılması gereken klasör dışına, hatta hassas sistem dizinlerine yerleşmesini sağlayabiliyor.
Güvenlik zafiyetlerinin ciddiyetini belirlemek için kullanılan standart sistem olan CVSS'e göre bu açık, 7.8/10 gibi yüksek bir puan alıyor. Bu, açığın gizlilik, bütünlük ve erişilebilirlik açısından yüksek risk taşıdığı anlamına geliyor. Hassas verilerin açığa çıkmasına, sistem dosyalarının bozulmasına ve hatta sistemin kullanılamaz hale gelmesine neden olabilir.
WinRAR'ın geliştiricisi RARLAB, bu kritik zafiyeti fark ederek hızla harekete geçti ve açığı en son beta sürümü olan WinRAR 7.12 Beta 1'de giderdiğini duyurdu. Yapılan açıklamaya göre, WinRAR v7.11 ve önceki Windows sürümleri ile ilişkili bazı araçlar risk altındayken, WinRAR'ın Unix sürümleri ve ilgili araçlar bu açıktan etkilenmiyor.
WinRAR'ın dünya genelinde yüz milyonlarca kullanıcısı olduğu göz önüne alındığında, bu tür güvenlik açıklarının kötü niyetli kişiler tarafından hedef alınması yaygın bir durum. Kullanıcıların sistemlerini bu yeni zafiyete karşı korumak için WinRAR'ın son beta sürümüne (7.12 Beta 1) manuel olarak güncellemeleri şiddetle tavsiye ediliyor.
