Uwaga na zdalne wykonanie kodu w pakiecie WinZip – pora na aktualizację

W popularnym na platformie Windows programie WinZip, w ramach Zero Day Initiative zgłoszona została podatność oznaczona symbolem CVE-2025-1240 i poziomie krytyczności 7,8. Występuje ona podczas przetwarzania archiwów 7Z i może prowadzić do wykonania kodu w kontekście użytkownika WinZipa.

TLDR:

• podatność CVE-2025-1240 w WinZip podczas parsowania archiwów 7Z
• wymagana jest interakcja użytkownika (otwarcie złośliwego archiwum)
• pozwala na zdalne wykonanie kodu
• na szczęście została załatana już w najnowszej wersji WinZip (29.0)

Co prawda do wykorzystania podatności konieczna jest interakcja użytkownika, polegająca na otwarciu archiwum, jednak atakujący zapewne będą w stanie dostarczyć mniej świadomym użytkownikom złośliwe pliki na przykład wykorzystując phishing. Uruchomienie złośliwego kodu zapewne skutkować będzie uzyskaniem zdalnego dostępu do systemu przez atakujących z uprawnieniami użytkownika.

Na szczęście dostępna jest już najnowsza wersja WinZip (29.0), która naprawia tę podatność. Jeśli korzystacie z WinZip, zaktualizujcie go jak najszybciej i ostrzeżcie znajomych.

~Paweł Różański