大眼仔了解到某些版本的 WinZip 文件压缩工具中的服务器-客户端通信不安全，可以进行修改以向用户提供恶意软件或欺诈性内容。对于 Windows 用户来说，WinZip 一直是一个长期存在的实用程序，其文件存档需求超出了操作系统内置的支持范围。目前 WinZip 有针对中国大陆完全免费的版本，如果您有在使用该软件，请立刻取消软件中的检查更新。

WinZip 中文版

该工具最初在 30 年前发布，现在具有适用于 macOS，Android 和 iOS 的版本，以及具有协作功能的企业版。 根据其网站，该应用程序的下载量超过10亿。

明文流量
WinZip 当前的版本为 25，但较早的版本检查服务器是否通过未加密的连接进行更新，该漏洞可能被恶意攻击者利用。Trustwave SpiderLabs 的 Martin Rakhmanov 从该工具的漏洞版本中捕获了流量，以显示未加密的通信。

考虑到通信渠道的不安全特性，Rakhmanov 说，与 WinZip 用户位于同一网络上的攻击者可以“劫持，操纵或劫持”流量。

1
2
23.34.248.234 HTTP 1075 GET /cgi-bin/suupgeade.cgisucode=JADD3-NRT8K-NPJU4-

192.168.1.17  http 1281 HTTP/1.1 200 OK  (text/html)

造成此风险的一个风险是 DNS 中毒，它会诱骗应用程序从恶意 Web 服务器中获取虚假更新。

“因此，毫无戒心的用户可以启动任意代码，就像它是有效的更新一样，” Rakhmanov 在今天的博客中指出。

在易受攻击的 WinZip 的注册版本上，攻击者还可以获得潜在的敏感信息，例如用户名和注册码。

Rakhmanov 说，明文通信还用于显示弹出窗口，以告知具有 WinZip 免费试用版的用户还有多少时间可以进行测试。

弹出窗口中的内容是检索 JavaScript 的 HTML。 这使网络上的攻击者可以使用户暴露于似乎直接来自 WinZip 服务器的任意内容。

研究人员说，这种情况还带有在受害者的计算机上执行任意代码的风险，因为 WinZip 为 JavaScript 提供了一些“强大”的 API。

随着 WinZip 25 的发布，不再进行明文通信。 建议用户升级到该应用程序的最新版本。

但是，许多用户可能并不愿意获得最新版本，因为需要付费进行升级。 标准 WinZip 的价格为35.64美元，专业版的价格为59.44美元。

如果不能升级软件，建议用户禁用更新检查。 这将阻止客户端向 WinZip 服务器查询新版本的可用性。