Уязвимост в архиватора WinZip позволява завладяване на компютри

Уязвимост в архиватора WinZip позволява завладяване на компютри

Александър Главчев
357 прочитания

По-старите версии на архиватора WinZip могат да бъдат използвани от киберпрестъпници за изтегляне на зловреден софтуер на компютрите на жертвите. Причината е необезопасен обмен на данни между клиента и сървъра, откъдето софтуерът тегли информация за актуализации.

WinZip е старо приложение, чиято история започва преди 30 години. Текущата му версия е 25, но повечето потребители по-ранни такива. В последната версия проблемът със споменатата несигурна връзка със сървъра е коригиран. В предишните обаче трансферът може лесно да бъде прихванат, обясняват от компаният за ИТ сигурност Trustwave SpiderLabs. Възможни разнообразни манипулации, включително принуждаване на клиентската програма да изтегля зловреден софтуер от уебсайт под контрола на киберпрестъпници.

Освен това регистрираните версии на WinZip могат да се използват за извличане на информация за потребителите, включително техните имена и регистрационния код.

Несигурни връзки се установяват и когато потребители искат да проверят колко дълго са ползвали безплатната версия на архиватора. Съдържанието на въпросния прозорец се изобразява с помощта на HTML, който зарежда JavaScript. Атакуващият в същата мрежа като жертва може да използва това, за да качи фалшив код, който изглежда като изтеглен от уебсайта на WinZip.

По-старите версии на архиватора WinZip могат да бъдат използвани от киберпрестъпници за изтегляне на зловреден софтуер на компютрите на жертвите. Причината е необезопасен обмен на данни между клиента и сървъра, откъдето софтуерът тегли информация за актуализации.

WinZip е старо приложение, чиято история започва преди 30 години. Текущата му версия е 25, но повечето потребители по-ранни такива. В последната версия проблемът със споменатата несигурна връзка със сървъра е коригиран. В предишните обаче трансферът може лесно да бъде прихванат, обясняват от компаният за ИТ сигурност Trustwave SpiderLabs. Възможни разнообразни манипулации, включително принуждаване на клиентската програма да изтегля зловреден софтуер от уебсайт под контрола на киберпрестъпници.

Най-новото

Google инвестира в стартъпа Anthropic, ще конкурира ChatGPT

Google инвестира в стартъпа Anthropic, ще конкурира ChatGPT

  • 0
  • 204









Още от Digitalk ›
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК