Компания по кибербезопасности TrustWave опубликовала свежую статью. В ней рассказывается об уязвимости в популярном архиваторе WinZip, найденной специалистами организации. Правда, в материале уточняется, что речь идёт о версии программы под номером 24 и ниже, в то время как актуальный релиз (WinZip 25) вроде как лишён описанного недостатка.
Глава группы исследователей Мартин Рахманов заявил, что все версии архиватора моложе актуальной связывались с сервером через незащищённое соединение. Злоумышленники, например, могли воспользоваться брешью при показе информации о сроках окончания действия триальной версии приложения. И всё потому, что всплывающее окно являлось обыкновенной HTML-страницей, подгружающей JavaScript-код по HTTP (не HTTPS).
Отметим, что несмотря на наличие свежей версии WinZip, проблема остаётся актуальной. Как минимум потому, что апдейт с 24 на 25 версию архиватора будет стоить денег, а именно 50% от стоимости покупки приложения «с нуля».
Источник: TrustWave
Источник: