近日，WinZip曝出一個編號為CVE-2025-1240的高危漏洞，遠程攻擊者可通過利用畸形的7Z壓縮包文件，在受影響的系統(tǒng)上執(zhí)行任意代碼。該漏洞的CVSS評分為7.8，影響WinZip 28.0（版本號16022）及更早版本，用戶需升級至WinZip 29.0以規(guī)避風險。

漏洞成因與利用條件

該漏洞源于WinZip在解析7Z文件數(shù)據(jù)時驗證不充分，導(dǎo)致攻擊者可構(gòu)造惡意壓縮包，引發(fā)內(nèi)存中的越界寫入。這種內(nèi)存損壞可被利用，在WinZip進程的上下文中執(zhí)行代碼，如果與其他漏洞結(jié)合使用，甚至可能導(dǎo)致整個系統(tǒng)被攻陷。

關(guān)鍵利用條件包括：

• 用戶交互（例如打開惡意7Z文件或訪問被入侵的網(wǎng)頁）。
• 攻擊針對WinZip的7Z文件處理組件，這是壓縮數(shù)據(jù)的常見格式。

安全公司Zero Day Initiative（ZDI）將該漏洞編號為ZDI-CAN-24986，并指出鑒于WinZip在全球范圍內(nèi)的廣泛用戶基礎(chǔ)，該漏洞存在被大規(guī)模濫用的風險。

影響與潛在風險

成功利用該漏洞的攻擊者可獲得與當前登錄用戶相同的權(quán)限，可能導(dǎo)致以下后果：

• 安裝惡意軟件或勒索軟件。
• 竊取敏感數(shù)據(jù)。
• 在內(nèi)部網(wǎng)絡(luò)中橫向移動。

盡管攻擊需要用戶交互，但由于7Z文件在軟件分發(fā)和數(shù)據(jù)共享中的普遍性，成功的網(wǎng)絡(luò)釣魚攻擊概率顯著增加。

緩解措施與補丁更新

WinZip已于2024年12月發(fā)布的WinZip 29.0（版本號16250）中修復(fù)了該漏洞。此次更新還引入了以下增強的安全措施：

• 升級了7Z和RAR庫，以改進文件驗證機制。
• 優(yōu)化了補丁部署流程，確保用戶及時獲取關(guān)鍵修復(fù)。

用戶建議：

• 立即通過官方網(wǎng)站或內(nèi)置更新程序升級至WinZip 29.0。
• 避免打開來源不明的7Z文件。
• 啟用自動更新功能，防范未來可能的漏洞。

行業(yè)背景與警示

該漏洞的曝光正值文件解析漏洞激增之際，例如最近曝光的Windows OLE零點擊漏洞（CVE-2025-21298）就允許通過惡意電子郵件實現(xiàn)遠程代碼執(zhí)行。這類事件凸顯了主動補丁管理的重要性，尤其是像WinZip這樣年處理超過10億壓縮文件的廣泛使用工具。

安全分析師呼吁各組織優(yōu)先更新受影響的軟件，并教育用戶識別可疑的文件附件。WinZip對CVE-2025-1240的迅速響應(yīng)也體現(xiàn)了廠商在網(wǎng)絡(luò)安全中的責任。用戶和企業(yè)應(yīng)盡快應(yīng)用更新，以化解這一高風險威脅。