Descubren un fallo de seguridad en WinZip que permite la ejecución del código

Analistas de seguridad anunciarón el viernes, que ciertas versiones del programa WinZip, poseen un fallo de seguridad que permitiría a un atacante ejecutar código en un ordenador sin el consentimiento de su propietario.

iDefense.inc, consultora de seguridad que trabaja para Gobiernos y grandes empresas, hizo pública el viernes una vulnerabilidad de Winzip,. El agujero permite la ejecución de código por parte de un atacante externo en las versiones 6, 7 y 8 de este software, pero no en la 9.

WinZip ya publicó un aviso, aconsejando a sus usuarios a descargar e instalar la versión 9 final, que no es vulnerable.

El atacante solo tiene que construir un archivo en formato MIME con extensión .MIM, .UUE, .UU, .B64, .BHX, .HQX o .XXE, y distribuirlo entre los usuarios, explicó iDefense.

Por otro lado están los archivos con extensiones como .ZIP, .TAR, o .CAB, también soportadas por WinZip, y que no son vulnerables mientras no hayan sido codificados como MIME.

Fuente: VsAntivirus

One Comment

Deja una respuesta