情資卡編號:
TCCY-RCDC-200-202502-0000066
事件主旨:
WinZip高風險漏洞修補說明與建議
內容說明:
一、概述:
壓縮軟體WinZip近期遭揭露存在一個高風險漏洞CVE-2025-1240(CVSS評分7.8),允許遠端攻擊者在受影響的系統上執行任意程式碼。
該漏洞由趨勢科技Zero Day Initiative(ZDI)於2024年9月4日向供應商報告,說明該問題存在於7Z檔案的解析中。由於缺乏對使用者提供的資料適當驗證所引起,可能導致寫入超出分配緩衝區的結尾,攻擊者可以在目前程序中執行程式碼。
雖然漏洞屬於高風險等級,但利用此漏洞需要使用者互動,即目標必須存取惡意頁面或開啟惡意檔案,亦即攻擊者需要誘騙使用者開啟特製的7Z檔案或存取託管此類檔案的受感染網站,一般可經由網路釣魚電子郵件或惡意廣告等社交工程手段引誘受害者。
過時的軟體通常包含可被攻擊者利用的漏洞,定期更新軟體是維持強大的安全態勢及防範網路威脅的重要關鍵。WinZip已發布漏洞修補版本,建議使用者安裝至最新版本。
二、影響範圍:
WinZip 28.0及之前的版本
風險等級:
2
建議措施:
請更新至WinZip 29.0,其他資訊,請參閱以下官方網址說明:
https://kb.winzip.com/help/help_whatsnew.htm