Hackers μποορύν να χρησιμοποιήσουν τον μη ασφαλισμένο server του Winzip για να σας στείλουν μολυσμένα αρχεία!

Η επικοινωνία διακομιστή-πελάτη σε ορισμένες εκδόσεις του εργαλείου συμπίεσης αρχείων WinZip είναι ανασφαλής και θα μπορούσε να τροποποιηθεί για την αποστολή κακόβουλου ή παράνομου περιεχομένου στους χρήστες.

Το WinZip είναι ένα παλιό βοηθητικό πρόγραμμα για χρήστες Windows με ανάγκες αρχειοθέτησης αρχείων πέρα από την υποστήριξη που είναι ενσωματωμένη στο λειτουργικό σύστημα.

Αρχικά κυκλοφόρησε πριν από περίπου 30 χρόνια, το εργαλείο διαθέτει τώρα εκδόσεις για macOS, Android και iOS, καθώς και μια εταιρική έκδοση που προσθέτει λειτουργίες συνεργασίας. Σύμφωνα με τον ιστότοπό της εταιρείας, η εφαρμογή έχει περισσότερες από ένα δισεκατομμύριο λήψεις.

Κυκλοφορία καθαρού κειμένου

Το WinZip είναι επί του παρόντος στην έκδοση 25. Οι προηγούμενες εκδόσεις ελέγχουν τον διακομιστή για ενημερώσεις μέσω μη κρυπτογραφημένης σύνδεσης, μια αδυναμία που θα μπορούσε να εκμεταλλευτεί ένας hacker.

Ο Martin Rakhmanov της Trustwave SpiderLabs συνέλαβε την κίνηση από μια ευάλωτη έκδοση του εργαλείου για να δείξει αυτήν την μη κρυπτογραφημένη επικοινωνία.

Δεδομένης της ανασφαλούς φύσης του καναλιού επικοινωνίας, ο Rakhmanov λέει ότι η κίνηση μπορεί να «την αρπάξει κάποιος, να την χειραγωγήσει ή να πειραματιστεί μαζί της». Βέβαια βασική προϋπόθεση είναι ο εισβολέας να είναι στο ίδιο δίκτυο με τον χρήστη WinZip.

Ένας κίνδυνος που απορρέει από αυτήν την ενέργεια είναι η “δηλητηρίαση” του DNS, η οποία παραπλανά την εφαρμογή να ανακτήσει μια ψεύτικη ενημέρωση από έναν κακόβουλο διακομιστή ιστού.

«Ως αποτέλεσμα, ο ανυποψίαστος χρήστης μπορεί να εκκινήσει αυθαίρετο κώδικα σαν να είναι έγκυρη ενημέρωση», σημειώνει ο Rakhmanov σε μια ανάρτηση ιστολογίου σήμερα.

Σε καταχωρημένες εκδόσεις του WinZip που είναι ευάλωτες, ο εισβολέας θα μπορούσε επίσης να λάβει δυνητικά ευαίσθητες πληροφορίες, όπως το όνομα χρήστη και τον κωδικό εγγραφής.

Ο Ρακμάνοφ λέει ότι η επικοινωνία με κλασσικό κείμενο χρησιμοποιείται επίσης για την εμφάνιση αναδυόμενων παραθύρων που ενημερώνουν τους χρήστες με μια δωρεάν δοκιμαστική έκδοση του WinZip πόσος χρόνος έχουν απομείνει για δοκιμές.

Το περιεχόμενο στο αναδυόμενο παράθυρο είναι HTML που ανακτά το JavaScript. Αυτό επιτρέπει σε έναν εισβολέα στο δίκτυο να εκθέτει τους χρήστες σε αυθαίρετο περιεχόμενο που φαίνεται να προέρχεται απευθείας από διακομιστές WinZip.

Ο ερευνητής λέει ότι αυτό το σενάριο έρχεται επίσης με τον κίνδυνο εκτέλεσης αυθαίρετου κώδικα στο μηχάνημα του θύματος, επειδή το WinZip προσφέρει μερικά «ισχυρά» API στο JavaScript.

Με την κυκλοφορία του WinZip 25, δεν γίνεται πλέον επικοινωνία cleartext. Συνιστάται στους χρήστες να κάνουν αναβάθμιση στην πιο πρόσφατη έκδοση της εφαρμογής.

Ωστόσο, πολλοί χρήστες δεν μπορούν να πάρουν την τρέχουσα κυκλοφορία, επειδή πληρώνονται οι αναβαθμίσεις. Το τυπικό WinZip κοστίζει 35,64 $ και η έκδοση Pro είναι 59,44 $.

Εάν η αναβάθμιση του λογισμικού δεν είναι επιλογή, συνιστάται στους χρήστες να απενεργοποιούν τους ελέγχους ενημέρωσης. Αυτό θα σταματήσει τον πελάτη από το ερώτημα του διακομιστή WinZip για τη διαθεσιμότητα μιας νέας έκδοσης.

 

[signoff]

 

Πηγή

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Leave a reply

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

Με τσουχτερή τιμή θα έρθει το iPhone 18 Pro

Η γνωστή εταιρία αναλύσεων, Counterpoint, έδωσε στη δημοσιότητα έναν πίνακα, από τον οποίο αναλύει ότι το iPhone 18 Pro Max θα κοστίζει πολλά περισσότερα χρήματα στην Apple για να...

Xiaomi 18 Pro: 2 X 200MP κάμερες, 7000mAh μπαταρία, επιδόσεις και τιμή σοκ

Το Xiaomi 18 Pro αναμένεται να είναι ένα από τα πιο ικανά smartphones που έχει ανακοινώσει η Xiaomi, αλλά και λόγω της συνεχιζόμενης κρίσης...

Google: Ξεκινάει τη χρήση της IP διεύθυνσής μας

Μια σημαντική αλλαγή ξεκινάει να εφαρμόζει η Google για όσους διαμένουν στον Ευρωπαϊκό Οικονομικό Χώρο, στο Ηνωμένο Βασίλειο και στην Ελβετία. Υπάρχει περίπτωση να...

Τέλος στα USB εγκατάστασης: Η Microsoft ενσωματώνει το Cloud Rebuild στο Windows 11

Η Microsoft αλλάζει ριζικά τον τρόπο με τον οποίο οι χρήστες και οι διαχειριστές συστημάτων ανακτούν υπολογιστές που έχουν καταρρεύσει. Το νέο εργαλείο Cloud...

Άλμα από M5 σε M7: Το MacBook Pro παίρνει άλλο δρόμο

Η Apple φέρεται να αλλάζει σχέδια για τη νέα γενιά MacBook Pro, παρακάμπτοντας τα ισχυρά chips M6 Pro και M6 Max και περνώντας κατευθείαν...

ΤΕΛΕΥΤΑΙΕΣ ΠΡΟΣΦΟΡΕΣ

Διακοπές Ρεύματος;;; ΤΕΡΜΑ οι Δικαιολογίες… Φτιάξ’ το ΣΗΜΕΡΑ με Allpowers R600 Power Station στα 212€ ΚΟΜΠΛΕ

Αν ακόμη δεν έχεις κάνει κάτι για να διασφαλίσεις από το "ΚΑΚΟ" ρεύμα τις πανάκριβες συσκευές σου ή ακόμη και την δουλειά σου... με...

Με 30.000 DPI… Razer Pro Click V2, Ασύρματο Gaming Ποντίκι, RGB, Εργονομικό, Ai & Macros και Στην Καλύτερη Τιμή EVER από Ελλάδα (βίντεο)

Όταν κάτι αφορά την δουλειά σου πάνω απ' όλα πάντα προτείνω να διαθέσεις κάτι "παραπάνω" γιατί σίγουρα θα σου τα γυρίσει πίσω πολλές φορές. Έτσι...

Xiaomi MIJIA Youth Edition2S: Ο πιο “ΤΣΑΜΠΑ” Επώνυμος DLP προτζέκτορας είναι εδώ… στα 297€ ΚΟΜΠΛΕ (βίντεο)

Βίντεο Σύγκρισής  Xiaomi MIJIA Youth Edition2S (DLP) VS Wanbo T2 MAX New (LED) Είναι ο 5ος DLP Προτζέκτορας που φέρνω στο κανάλι ανάμεσα σε 10άδες...

Κάνε Δική σου… την Δική μου Action Camera! Η Insta360 Ace Pro 2, στο “Καλύτερο” Bandle και Τιμή από ΕΛΛΑΔΑ!!!! (βίντεο)

Την έχεις δει να πρωταγωνιστεί σε πολλά από τα βίντεο μου και είναι η αγαπημένη μου γιατί απλά κάνει τα "πάντα" και τα κάνει...

Το “Απόλυτο” VFM και καλύτερο Power Station Στα 1800W (3600W Peak), 1024Wh και 0,01sec UPS… Στα 367€ ΚΟΜΠΛΕ (Βίντεο)

Μετά από δική σας προτροπή και 6 μήνες δοκιμών μπορώ πλέον να ανεβάζω το βίντεο και να πω με ασφάλεια ότι δουλεύει άψογα. Προσωπικά δεν...