Faille de securité sur Winzip

Imprimer
Winzip Computing a décelé plusieurs failles de sécurité dans son logiciel d'archivage, qui peuvent être exploitée pour exécuter du code malveillant à distance. Un correctif est disponible, mais il faut payer 29 dollars pour en profiter pleinement. Le logiciel de compression/décompression des données en environnement Windows, Winzip, contient plusieurs failles de sécurité découvertes par son éditeur Winzip Computing, le mois dernier. Elles pourraient être exploitées pour opérer des intrusions à distance ou des attaques virales.

La société danoise de recherche en sécurité Secunia s'est également fait l'écho de ces failles et les a jugées «hautement critiques», soit son plus haut niveau d'alerte. Les versions de Winzip concernées sont les séries 3.x, 6.x, 7.x, 8.x, et 9.x.

Les principales vulnérabilités sont du type dépassement de mémoire tampon ("buffer overflow"), qui peut être exploité par une personne malintentionnée pour exécuter du code sur la machine cible afin d'en prendre le contrôle ou d'y inoculer un virus.

Un patch avec de nouvelles fonctions de sécurité

Secunia comme Winzip Computing invitent donc les utilisateurs des produits concernés à installer la mise à jour (Winzip 9.0 Service Release 1), disponible en téléchargement (en anglais – 2,3 Mo). Elle corrige les failles et contient de nouvelles fonctions de sécurité, comme l'apparition de messages d'alerte en cas d'extraction d'un fichier exécutable (.exe), susceptible par nature de contenir un virus.

Ce patch n'est pas totalement gratuit, sauf pour les utilisateurs enregistrés de Winzip. Les autres, soit tous ceux qui ont sur leur poste une version d'évaluation ou une application non enregistrée, devront s'acquitter de 29 dollars pour disposer de la licence Winzip 9.0 SR-1, après une période d'essai de 21 jours.

Source ZDNet France

Partager cette page