Niebezpieczny WinZip

Eksperci ds. bezpieczeństwa poinformowali o wykryciu poważnej "dziury" w zabezpieczeniach popularnej aplikacji do kompresji danych WinZip. Z informacji dostarczonych przez specjalistów z firmy iDefense wynika, że odpowiednio spreparowane archiwum po uruchomieniu przez użytkownika, doprowadza do błędu przepełnienia bufora i w końcowym efekcie umożliwia wykonanie dowolnego kodu (np. wirusa lub konia trojańskiego) na zaatakowanym komputerze.

Wykrytej luki powinni się obawiać użytkownicy posiadający program WinZip w wersji 7, 8, jak również i ostatniej wersji beta 9. Według zapewnień specjalistów, jedynie ostatnio udostępniona wersja finalna WinZipa - 9 - jest wolna od błędu.

Aby wykorzystać zaistniała dziurę, atakujący musi skonstruować specjalne archiwum w formacie MIME (Multipurpose Internet Mail Extensions) o jednym z następujących rozszerzeń obsługiwanych przez WinZip: MIM, UUE, UU, B64, BHX, HQX oraz XXE. Archiwum takie może być dystrybuowane poprzez pocztę elektroniczną, strony internetowe lub sieci peer-to-peer. Gdy plik taki zostanie otwarty przez użytkownika, zmusza WinZipa do przejścia w tryb wykonywania zawartego w pliku kodu, który w efekcie doprowadza do błędu przepełnienia bufora. Objawia się to komunikatem o treści:

"internal error in file misc.c line 132"

Jak możemy przeczytać w serwisie Hacking.pl ( http://www.hacking.pl ): "Z racji tego, że WinZip jest skojarzony przez system jako program mogący uruchomić pliki typu MIME (double-clicking na takim pliku spowoduje jego automatycznie uruchomienie właśnie w tym programie) zaleca się również usunięcie wszystkich związków (association) z tego typu plikami. WinZip jest również systemowo skojarzony z plikami o rozszerzeniach ZIP, .TAR i .CAB jednak opisywany problem ich nie dotyczy.

Aby usunąć skojarzenia plików, które stwarzają zagrożenia należy uruchomić program (WinZip) wybrać "Configuration" z menu "Options". Następnie "System tab" i kolejno przycisk "Associations". Pojawi się lista rozszerzeń plików, które mogą być kojarzone z programem. Należy odznaczyć boxy przy rozszerzeniach ".mim", ".uu", ".uue ", ".b64", ". hqx ", ". bhx ", oraz ".xxe" i kliknąć OK."

Problem wydaje się mieć szczególnie duże znaczenie w przypadku posiadaczy systemu Windows XP, w którym została zaimplementowana funkcja automatycznej obsługi zarchiwizowanych WinZipem plików tego formatu. Eksperci zalecają zatem (oprócz tradycyjnej ostrożności w otwieraniu załączników wiadomości nieznanego pochodzenia), również dezaktywację automatycznej obsługi tego typu archiwów.

Aby tego dokonać:

1. Z dowolnego okna Exploratora, z menu Narzędzia wybieramy pozycję Opcje folderów;

2. W oknie Opcje folderów wybieramy zakładkę Typy plików;

3. Odszukujemy podane wcześniej rozszerzenia (MIM, UUE, UU, B64, BHX, HQX, XXE), zaznaczamy je i usuwamy (przy pomocy przycisku Usuń), bądź zmienamy ich skojarzenie tak, aby były one uruchamiane przez inny program. Dokonujemy tego poprzez przycisk Zmień.

Najnowszą, finalną (i bezpieczną) wersję WinZipa można już pobrać z naszego serwisu FTP:

http://www.pcworld.pl/ftp/pc/programy/2946/WinZip.9.0.html


Zobacz również