大眼仔了解到某些版本的 WinZip 文件压缩工具中的服务器-客户端通信不安全,可以进行修改以向用户提供恶意软件或欺诈性内容。对于 Windows 用户来说,WinZip 一直是一个长期存在的实用程序,其文件存档需求超出了操作系统内置的支持范围。目前 WinZip 有针对中国大陆完全免费的版本,如果您有在使用该软件,请立刻取消软件中的检查更新。
该工具最初在 30 年前发布,现在具有适用于 macOS,Android 和 iOS 的版本,以及具有协作功能的企业版。 根据其网站,该应用程序的下载量超过10亿。
明文流量
WinZip 当前的版本为 25,但较早的版本检查服务器是否通过未加密的连接进行更新,该漏洞可能被恶意攻击者利用。Trustwave SpiderLabs 的 Martin Rakhmanov 从该工具的漏洞版本中捕获了流量,以显示未加密的通信。
考虑到通信渠道的不安全特性,Rakhmanov 说,与 WinZip 用户位于同一网络上的攻击者可以“劫持,操纵或劫持”流量。
1
2 23.34.248.234 HTTP 1075 GET /cgi-bin/suupgeade.cgisucode=JADD3-NRT8K-NPJU4-
192.168.1.17 http 1281 HTTP/1.1 200 OK (text/html)
造成此风险的一个风险是 DNS 中毒,它会诱骗应用程序从恶意 Web 服务器中获取虚假更新。
“因此,毫无戒心的用户可以启动任意代码,就像它是有效的更新一样,” Rakhmanov 在今天的博客中指出。
在易受攻击的 WinZip 的注册版本上,攻击者还可以获得潜在的敏感信息,例如用户名和注册码。
Rakhmanov 说,明文通信还用于显示弹出窗口,以告知具有 WinZip 免费试用版的用户还有多少时间可以进行测试。
弹出窗口中的内容是检索 JavaScript 的 HTML。 这使网络上的攻击者可以使用户暴露于似乎直接来自 WinZip 服务器的任意内容。
研究人员说,这种情况还带有在受害者的计算机上执行任意代码的风险,因为 WinZip 为 JavaScript 提供了一些“强大”的 API。
随着 WinZip 25 的发布,不再进行明文通信。 建议用户升级到该应用程序的最新版本。
但是,许多用户可能并不愿意获得最新版本,因为需要付费进行升级。 标准 WinZip 的价格为35.64美元,专业版的价格为59.44美元。
如果不能升级软件,建议用户禁用更新检查。 这将阻止客户端向 WinZip 服务器查询新版本的可用性。
原创文章,作者:306829225,如若转载,请注明出处:https://blog.ytso.com/214631.html