В WinZip нашли уязвимость, позволяющую заражать компьютеры пользователей архиватора

Что самое обидное, основой для неё стало банальное использование незащищённого соединения.

Компания по кибербезопасности TrustWave опубликовала свежую статью. В ней рассказывается об уязвимости в популярном архиваторе WinZip, найденной специалистами организации. Правда, в материале уточняется, что речь идёт о версии программы под номером 24 и ниже, в то время как актуальный релиз (WinZip 25) вроде как лишён описанного недостатка.



Хоть в WinZip 25 «дыру» устранили, она всё ещё опасна, т.к. многие продолжают пользоваться устаревшей версией архиватора

Глава группы исследователей Мартин Рахманов заявил, что все версии архиватора моложе актуальной связывались с сервером через незащищённое соединение. Злоумышленники, например, могли воспользоваться брешью при показе информации о сроках окончания действия триальной версии приложения. И всё потому, что всплывающее окно являлось обыкновенной HTML-страницей, подгружающей JavaScript-код по HTTP (не HTTPS).

Отметим, что несмотря на наличие свежей версии WinZip, проблема остаётся актуальной. Как минимум потому, что апдейт с 24 на 25 версию архиватора будет стоить денег, а именно 50% от стоимости покупки приложения «с нуля». 

Источник: TrustWave