Siber emniyet çözüm sağlayıcısı Trustwave, WinZip dosya sıkıştırma yazılımında, bir kullanıcının bilgisayarına kötü amaçlı yazılım iğne yapmak için kullanılabilecek bir dizi emniyet açığı saptama etti. Açık, sunucu-istemci irtibat kanalında bulunuyor.

Trustwave'e göre WinZip'in bazı eski sürümleri, güncellemeleri ararken, sunucuyla iletişim kurarken istekleri şifrelenmemiş bir bağlantı üzerinden açık metin olarak gönderiyor. neticede, HTTP bağlantısı fena niyetli biri tarafından kolayca ele geçirilebilir ve kötü amaçlı yazılımları gizli gizli yerleştirmenin bir yolu olarak kullanılabilir.

Trustwave araştırmacıları kadar başka sorunlar da keşfedildi. Örneğin WinZip, güncelleme istekleri gönderirken benzer şifrelenmemiş kanal üzerinden kullanıcı adları ve tescil kodları da dahil olmak üzere alıngan olabilecek bilgileri gönderiyor. Bu, bir saldırganın da bu bilgilere kolayca erişebileceği anlamına geliyor.

Sorun, Winzip'in 24 sürümünde tespit edildi. Kullanıcıların kendilerini bu fena amaçlı yazılım saldırılarına aleyhinde korumalarının en basit yolu, WinZip 25'e yükseltmek çünkü bu sürüm, sunucu iletişimi için HTTPS kullanıyor. 

chip