IT-Sicherheitsforscher haben im Packprogramm WinZip eine Sicherheitslücke entdeckt. Darüber können Angreifer ihren Opfern mit manipulierten Archiven Schadcode unterjubeln. Ruft ein Opfer eine bösartige Webseite auf oder öffnet ein sorgsam präpariertes Archiv mit Winzip können Angreifer aus dem Netz beliebigen Code ausführen.

Diese Sicherheitslücke haben die IT-Forscher von Trend Micros Zero-Day-Initiative (ZDI) entdeckt und eine Sicherheitsmitteilung dazu veröffentlicht. Beim Verarbeiten von 7-Zip-Dateien (7z) kommt es zu dem Problem. Die IT-Forscher erklären: "Das Problem resultiert aus mangelnder Überprüfung von Nutzer-übergebenen Daten, wodurch Schreibzugriffe über die Grenzen eines allokierten Speicherbereichs hinaus möglich sind".

Die IT-Forscher beschreiben weiter: "Angreifer können die Schwachstelle ausnutzen, um beliebigen Code im Kontext des aktuellen Prozesses auszuführen" (CVE-2025-1240, CVSS 7.8, Risiko "hoch").

Mit Winzip 29.0 wurde die Sicherheitslücke geschlossen. Die Entwickler erwähnen in den Release-Notes allerdings keine Sicherheitskorrekturen.

Die aktualisierten Pakete stehen auf der Download-Seite von WinZip zum Herunterladen bereit. Es wird empfohlen, dass Nutzer die Aktualisierung möglichst zeitnah einspielen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE