WinZip漏洞让远程攻击者执行任意代码

WinZip 中一个新披露的严重漏洞，被追踪为 CVE-2025-1240，远程攻击者可通过利用格式错误的 7Z 归档文件，在受影响的系统上执行任意代码。

这个漏洞在通用漏洞评分系统（CVSS）中的评分为 7.8，它影响 WinZip 28.0（内部版本 16022）及更早版本，用户需要更新到 WinZip 29.0 以降低风险。

WinZip 漏洞 ——CVE-2025-1240

该漏洞源于在解析 7Z 文件数据时验证不充分，这使得攻击者能够创建恶意归档文件，从而导致内存中的越界写入。

这种数据损坏可被利用，在 WinZip 进程的上下文中执行代码，如果与其他漏洞利用手段相结合，有可能导致整个系统被攻陷。

关键的利用条件：

1.用户交互（打开恶意的 7Z 文件或访问被攻陷的网页）。

2.漏洞利用针对的是 WinZip 的 7Z 文件处理组件，7Z 是一种常见的压缩数据格式。

安全公司零日计划（Zero Day Initiative，ZDI）将该漏洞详细记录为 ZDI-CAN-24986，并指出鉴于 WinZip 的全球用户基础，该漏洞存在被广泛滥用的可能性。

影响与风险

成功利用该漏洞会使攻击者获得与登录用户相同的权限。这可能导致：

1.恶意软件或勒索软件的安装。

2.敏感数据的窃取。

3.在网络内的横向移动。

虽然攻击需要用户交互，但 7Z 文件在软件分发和数据共享中十分普遍，这增加了成功实施网络钓鱼活动的可能性。

缓解措施与补丁

WinZip Computing 公司在 2024 年 12 月发布的 29.0 版本（内部版本 16250）中修复了这个漏洞。该更新还引入了增强的安全措施，包括：

1.更新了 7Z 和 RAR 库，以改进文件验证。

2.简化了补丁部署流程，以确保用户能及时收到关键修复程序。

对用户的建议：

1.立即通过官方网站或内置更新程序升级到 WinZip 29.0。

2.避免打开来自不可信来源的 7Z 文件。

3.启用自动更新，以防范未来出现的漏洞。

在这个漏洞披露之前，文件解析漏洞利用事件激增，包括最近 Windows 中的 OLE 零点击漏洞（CVE-2025-21298），该漏洞允许通过恶意电子邮件实现远程代码执行（RCE）。此类事件凸显了主动进行补丁管理的重要性，尤其是对于像 WinZip 这样广泛使用的实用工具，WinZip 每年处理超过 10 亿个压缩文件。

安全分析师敦促各组织优先更新受影响的软件，并对用户进行关于识别可疑文件附件的教育。

WinZip 对 CVE-2025-1240 漏洞的迅速响应，突显了供应商在网络安全方面承担责任的关键作用。建议用户和企业迅速应用更新，以消除这一高风险威胁。