近日，WinZip曝出一個(gè)編號(hào)為CVE-2025-1240的高危漏洞，遠(yuǎn)程攻擊者可通過(guò)利用畸形的7Z壓縮包文件，在受影響的系統(tǒng)上執(zhí)行任意代碼。該漏洞的CVSS評(píng)分為7.8，影響WinZip 28.0（版本號(hào)16022）及更早版本，用戶(hù)需升級(jí)至WinZip 29.0以規(guī)避風(fēng)險(xiǎn)。

漏洞成因與利用條件

該漏洞源于WinZip在解析7Z文件數(shù)據(jù)時(shí)驗(yàn)證不充分，導(dǎo)致攻擊者可構(gòu)造惡意壓縮包，引發(fā)內(nèi)存中的越界寫(xiě)入。這種內(nèi)存損壞可被利用，在WinZip進(jìn)程的上下文中執(zhí)行代碼，如果與其他漏洞結(jié)合使用，甚至可能導(dǎo)致整個(gè)系統(tǒng)被攻陷。

關(guān)鍵利用條件包括：

• 用戶(hù)交互（例如打開(kāi)惡意7Z文件或訪(fǎng)問(wèn)被入侵的網(wǎng)頁(yè)）。
• 攻擊針對(duì)WinZip的7Z文件處理組件，這是壓縮數(shù)據(jù)的常見(jiàn)格式。

安全公司Zero Day Initiative（ZDI）將該漏洞編號(hào)為ZDI-CAN-24986，并指出鑒于WinZip在全球范圍內(nèi)的廣泛用戶(hù)基礎(chǔ)，該漏洞存在被大規(guī)模濫用的風(fēng)險(xiǎn)。

影響與潛在風(fēng)險(xiǎn)

成功利用該漏洞的攻擊者可獲得與當(dāng)前登錄用戶(hù)相同的權(quán)限，可能導(dǎo)致以下后果：

• 安裝惡意軟件或勒索軟件。
• 竊取敏感數(shù)據(jù)。
• 在內(nèi)部網(wǎng)絡(luò)中橫向移動(dòng)。

盡管攻擊需要用戶(hù)交互，但由于7Z文件在軟件分發(fā)和數(shù)據(jù)共享中的普遍性，成功的網(wǎng)絡(luò)釣魚(yú)攻擊概率顯著增加。

緩解措施與補(bǔ)丁更新

WinZip已于2024年12月發(fā)布的WinZip 29.0（版本號(hào)16250）中修復(fù)了該漏洞。此次更新還引入了以下增強(qiáng)的安全措施：

• 升級(jí)了7Z和RAR庫(kù)，以改進(jìn)文件驗(yàn)證機(jī)制。
• 優(yōu)化了補(bǔ)丁部署流程，確保用戶(hù)及時(shí)獲取關(guān)鍵修復(fù)。

用戶(hù)建議：

• 立即通過(guò)官方網(wǎng)站或內(nèi)置更新程序升級(jí)至WinZip 29.0。
• 避免打開(kāi)來(lái)源不明的7Z文件。
• 啟用自動(dòng)更新功能，防范未來(lái)可能的漏洞。

行業(yè)背景與警示

該漏洞的曝光正值文件解析漏洞激增之際，例如最近曝光的Windows OLE零點(diǎn)擊漏洞（CVE-2025-21298）就允許通過(guò)惡意電子郵件實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。這類(lèi)事件凸顯了主動(dòng)補(bǔ)丁管理的重要性，尤其是像WinZip這樣年處理超過(guò)10億壓縮文件的廣泛使用工具。

安全分析師呼吁各組織優(yōu)先更新受影響的軟件，并教育用戶(hù)識(shí)別可疑的文件附件。WinZip對(duì)CVE-2025-1240的迅速響應(yīng)也體現(xiàn)了廠(chǎng)商在網(wǎng)絡(luò)安全中的責(zé)任。用戶(hù)和企業(yè)應(yīng)盡快應(yīng)用更新，以化解這一高風(fēng)險(xiǎn)威脅。