首页保安黑客如何使用WinZip?

黑客如何使用WinZip?

在某些版本的WinZip文件压缩工具上的服务器-客户端通信是不安全的,可以进行修改以将恶意内容传递给用户。

WinZip是Windows用户的长期实用程序,其文件存档需求超出了操作系统内置的支持范围。

WinZip的

该工具最初于30年前发布,现在具有适用于 macos, Android系统 και iOS系统,以及添加了协作功能的企业版。 根据其网站,该应用程序已超过十亿 下载.

WinZip当前版本为25,但是较早的版本通过未加密的方式控制服务器进行更新 连接弱点 可能被黑客利用。

Trustwave SpiderLabs的Martin Rakhmanov从该工具的漏洞版本中检测到流量,以显示未加密的内容 沟通.

考虑到通信渠道的不稳定性质,拉赫曼诺夫说,入侵者可以在同一通道上“窃取,操纵或劫持”流量 网络 与WinZip用户。

此操作引起的一个风险是DNS中毒,DNS中毒会误导应用程序从恶意Web服务器检索虚假更新。

“因此,毫无戒心的用户可以开始 任意代码 拉赫玛诺夫今天在一篇文章中说:“这就像是一次有效的更新。”

在WinZip的漏洞版本中,攻击者可以获得一些潜在的敏感信息,例如 用户名 和注册码。

拉赫曼诺夫说,与 明文 它还用于显示弹出窗口,以通知正在运行WinZip免费试用版的用户剩余测试时间。

弹出窗口中的内容是检索JavaScript的HTML。 这使攻击者能够 网络 将用户暴露给 任意内容 它似乎直接来自WinZip服务器。

研究人员说,这种情况还带有在计算机上执行任意代码的风险 受害者,因为WinZip提供了一些“功能强大” APIJavaScript的.

在WinZip的版本25中,没有使用明文进行通信。 推荐给 用户 升级到应用程序的最新版本。

但是,许多用户无法下载当前版本,因为 升级 是应付的。 标准WinZip的价格为35,64美元,专业版的价格为59,44美元。

如果无法进行软件升级,建议用户禁用它们 信息检查.

资料来源:bleepingcomputer.com

实时新闻