Descubren un problema de seguridad en Winzip

Via agc.es

Los problemas de seguridad de los programas informáticos no son exclusivos de navegadores, gestores de correo o programas de intercambio de archivos. El viernes se conoció una vulnerabilidad del popular programa de descompresión Winzip, que permitiría a un atacante ejecutar código en un ordenador sin el consentimiento de su propietario.

La consultora de seguridad iDefense.inc, que trabaja para Gobiernos y grandes empresas, hizo pública el viernes una vulnerabilidad de Winzip, uno de los programas más utilizados para comprimir y descomprimir archivos. El agujero permite la ejecución de código por parte de un atacante externo en las versiones 6, 7 y 8 de este software, pero no en la 9, lanzada recientemente, por lo que se recomienda la actualización.

Todo se debe a la forma en que trabaja Winzip. Si un atacante quisiera ejecutar en nuestra máquina cualquier tipo de código podría hacerlo creando un archivo con la extensión mim, .uue, .uu, .b64, .bhx, .hqx o .xxe. Luego, debería darle un nombre que resultase atractivo para el objetivo de su ataque, pues éste debe intentar descomprimir el archivo para que el atacante logre su objetivo.

El archivo con el código maligno y la extensión antes señalada podría ser distribuido de cualquier manera, ya sea por correo electrónico, páginas web o redes de intercambio de archivos. Cuando el usuario atacado lo intentase descomprimir, el archivo ejecutaría el código que lleva dentro.

En la página de WinZip se afirma que el agujero de seguridad está presente en todas las versiones de su software desde la