Niebezpieczny WinZip
-
- Sebastian Górski,
- 01.03.2004, godz. 15:39
Eksperci ds. bezpieczeństwa poinformowali o wykryciu poważnej "dziury" w zabezpieczeniach popularnej aplikacji do kompresji danych WinZip. Z informacji dostarczonych przez specjalistów z firmy iDefense wynika, że odpowiednio spreparowane archiwum po uruchomieniu przez użytkownika, doprowadza do błędu przepełnienia bufora i w końcowym efekcie umożliwia wykonanie dowolnego kodu (np. wirusa lub konia trojańskiego) na zaatakowanym komputerze.
Wykrytej luki powinni się obawiać użytkownicy posiadający program WinZip w wersji 7, 8, jak również i ostatniej wersji beta 9. Według zapewnień specjalistów, jedynie ostatnio udostępniona wersja finalna WinZipa - 9 - jest wolna od błędu.
Aby wykorzystać zaistniała dziurę, atakujący musi skonstruować specjalne archiwum w formacie MIME (Multipurpose Internet Mail Extensions) o jednym z następujących rozszerzeń obsługiwanych przez WinZip: MIM, UUE, UU, B64, BHX, HQX oraz XXE. Archiwum takie może być dystrybuowane poprzez pocztę elektroniczną, strony internetowe lub sieci peer-to-peer. Gdy plik taki zostanie otwarty przez użytkownika, zmusza WinZipa do przejścia w tryb wykonywania zawartego w pliku kodu, który w efekcie doprowadza do błędu przepełnienia bufora. Objawia się to komunikatem o treści:
"internal error in file misc.c line 132"
Jak możemy przeczytać w serwisie Hacking.pl: "Z racji tego, że WinZip jest skojarzony przez system jako program mogący uruchomić pliki typu MIME (double-clicking na takim pliku spowoduje jego automatycznie uruchomienie właśnie w tym programie) zaleca się również usunięcie wszystkich związków (association) z tego typu plikami. WinZip jest również systemowo skojarzony z plikami o rozszerzeniach ZIP, .TAR i .CAB jednak opisywany problem ich nie dotyczy.
Zobacz również:
Aby usunąć skojarzenia plików, które stwarzają zagrożenia należy uruchomić program (WinZip) wybrać "Configuration" z menu "Options". Następnie "System tab" i kolejno przycisk "Associations". Pojawi się lista rozszerzeń plików, które mogą być kojarzone z programem. Należy odznaczyć boxy przy rozszerzeniach ".mim", ".uu", ".uue ", ".b64", ". hqx ", ". bhx ", oraz ".xxe" i kliknąć OK."
Problem wydaje się mieć szczególnie duże znaczenie w przypadku posiadaczy systemu Windows XP, w którym została zaimplementowana funkcja automatycznej obsługi zarchiwizowanych WinZipem plików tego formatu. Eksperci zalecają zatem (oprócz tradycyjnej ostrożności w otwieraniu załączników wiadomości nieznanego pochodzenia), również dezaktywację automatycznej obsługi tego typu archiwów.
Aby tego dokonać:
Z dowolnego okna Exploratora, z menu Narzędzia wybieramy pozycję Opcje folderów;
2. W oknie Opcje folderów wybieramy zakładkę Typy plików;
3. Odszukujemy podane wcześniej rozszerzenia (MIM, UUE, UU, B64, BHX, HQX, XXE), zaznaczamy je i usuwamy (przy pomocy przycisku Usuń), bądź zmienamy ich skojarzenie tak, aby były one uruchamiane przez inny program. Dokonujemy tego poprzez przycisk Zmień