Hemen Güncelleyin! WinZip Programında Güvenlik Açığı Bulundu

Dikkat WinZip kullanıcıları. WinZip‘i En son sürümüne güncellediğinizden emin olun. WinZip deneme açılır penceresini etkileyen bu güvenlik açığı, kullanıcıları kötü amaçlı yazılımla hedeflemesine izin verebilir.

WinZip Güvenlik Açığı

Trustwave araştırmacıları, WinZip Deneme açılır penceresini etkileyen ciddi bir güvenlik açığı bildirdiler.

WinZip, yalnızca deneme kullanıcıları için indirmesi ücretsiz bir yazılımdır. Deneme süresi sona erdikten sonra kullanıcının aracı sonuna kadar kullanmaya devam edebilmesi için bir lisans satın almasını gerektirir. Bunun için periyodik olarak kullanıcıların yazılım durumunu kontrol eder ve deneme süresinin dolduğunu tespit ettiğinde istemler görüntüler.

Araştırmacılar, WinZip‘in bu bilgileri güvenli olmayan HTTP üzerinden ilettiğini buldu. Böylece bir Hacker‘ın trafiğe müdahale etmesi, Deneme açılır penceresine müdahale etmesi ve arasına kötü niyetli bir WinZip sürümü eklemesi mümkün hale geldi. Kullanıcı cihaza kötü amaçlı bir WinZip sürümünün ne zaman yükleneceğini asla bilemez.

İlginizi Çekebilir: Bir Hacker Saniyeler İçinde Tesla Model X’i Hackledi

Araştırmacılar tarafından açıklandığı gibi,

WinZip 24, Deneme modunda çalışırken zaman zaman açılır pencereler açar. Bu pop-up’ların içeriği, yine HTTP aracılığıyla alınan JavaScript içeren HTML olduğundan, ağa komşu bir saldırgan için değiştirilmesini kolaylaştırır.

Aynı güvenlik açığından yararlanmak, düşmanın trafikten hassas verileri çalmasına da izin verir.

Uygulama, kayıtlı kullanıcı adı, kayıt kodu ve sorgu dizesindeki bazı diğer bilgiler gibi potansiyel olarak hassas bilgileri güncelleme isteğinin bir parçası olarak gönderir. Bu, şifrelenmemiş bir kanal üzerinden olduğu için, bu bilgi saldırgan tarafından tamamen görülebilir.

WinZip 25 ve Üzeri Yama ile Kullanılabilir

Trustwave‘e göre güvenlik açığı WinZip 24′e kadar tüm WinZip sürümlerini etkiledi. Bu potansiyel olarak çok sayıda kullanıcının cihazlarında savunmasız sürümü çalıştıracağı anlamına geliyor.

Trustwave, bu sorunu tespit ettikten sonra, güvenlik açığını sorumlu bir şekilde geliştiricilere açıkladı ve daha sonra bu hatayı WinZip 25’in piyasaya sürülmesiyle güncelleştirdi. Bu sürümle satıcılar verileri iletmek için güvenli HTTPS‘yi uyguladılar.

Böylece kullanıcılar sistemlerini WinZip 25‘e yükseltebilirler. Ancak güncelleme yükleyemeyenler, güncellemeleri otomatik denetleme seçeneğini kapatarak sorunu hafifletebilirler.

Alternatif olarak, eski WinZip sürümlerinin kullanıcıları da yazılımı cihazlarından kaldırabilir ve en son WinZip 25’i cihazlarından yeniden yükleyebilir.

Yorumlarınız ile düşüncelerinizi öğrenmemize izin verin.

Daha fazla oku: Phishing Saldırısı Nedir? Nasıl Korunulur?

Kaynak: latesthackingnews.com/2020/12/14/winzip-trial-popup-vulnerability-that-allowed-for-malware-attacks-update-now

Bu bilgileri kaybetmemek için CTRL + D tuşuna veya URL kısmında yer alan yıldız işaretine tıklayarak sayfaya yer işareti ekleyebilirsiniz.