WinZip 中一个新披露的严重漏洞,被追踪为 CVE-2025-1240,远程攻击者可通过利用格式错误的 7Z 归档文件,在受影响的系统上执行任意代码。这个漏洞在通用漏洞评分系统(CVSS)中的评分为 7.8,它影响 WinZip 28.0(内部版本 16022)及更早版本,用户需要更新到 WinZip 29.0 以降低风险。WinZip 漏洞 ——CVE-2025-1240该漏洞源于在解析 7Z 文件数据时验证不充分,这使得攻击者能够创建恶意归档文件,从而导致内存中的越界写入。这种数据损坏可被利用,在 WinZip 进程的上下文中执行代码,如果与其他漏洞利用手段相结合,有可能导致整个系统被攻陷。关键的利用条件:1.用户交互(打开恶意的 7Z 文件或访问被攻陷的网页)。2.漏洞利用针对的是 WinZip 的 7Z 文件处理组件,7Z 是一种常见的压缩数据格式。安全公司零日计划(Zero Day Initiative,ZDI)将该漏洞详细记录为 ZDI-CAN-24986,并指出鉴于 WinZip 的全球用户基础,该漏洞存在被广泛滥用的可能性。影响与风险成功利用该漏洞会使攻击者获得与登录用户相同的权限。这可能导致:1.恶意软件或勒索软件的安装。2.敏感数据的窃取。3.在网络内的横向移动。虽然攻击需要用户交互,但 7Z 文件在软件分发和数据共享中十分普遍,这增加了成功实施网络钓鱼活动的可能性。缓解措施与补丁WinZip Computing 公司在 2024 年 12 月发布的 29.0 版本(内部版本 16250)中修复了这个漏洞。该更新还引入了增强的安全措施,包括:1.更新了 7Z 和 RAR 库,以改进文件验证。2.简化了补丁部署流程,以确保用户能及时收到关键修复程序。对用户的建议:1.立即通过官方网站或内置更新程序升级到 WinZip 29.0。2.避免打开来自不可信来源的 7Z 文件。3.启用自动更新,以防范未来出现的漏洞。在这个漏洞披露之前,文件解析漏洞利用事件激增,包括最近 Windows 中的 OLE 零点击漏洞(CVE-2025-21298),该漏洞允许通过恶意电子邮件实现远程代码执行(RCE)。此类事件凸显了主动进行补丁管理的重要性,尤其是对于像 WinZip 这样广泛使用的实用工具,WinZip 每年处理超过 10 亿个压缩文件。安全分析师敦促各组织优先更新受影响的软件,并对用户进行关于识别可疑文件附件的教育。WinZip 对 CVE-2025-1240 漏洞的迅速响应,突显了供应商在网络安全方面承担责任的关键作用。建议用户和企业迅速应用更新,以消除这一高风险威胁。
