Старые версии архиватора WinZip могут быть использованы киберзлоумышленниками для загрузки на компьютеры жертв вредоносного ПО. Этого можно добиться сразу несколькими способами. Причина же одна и та же — незащищенный обмен данными между клиентом и сервером, откуда WinZip запрашивает и скачивает информацию об обновлениях.
WinZip — очень старый архиватор, его разработка началась еще 30 лет назад. Актуальная версия — 25, однако у большинства пользователей, скорее всего, стоят более ранние версии. Стандартная версия WinZip сейчас стоит $35,64, профессиональная —$59,44.
Версии до 25 обмениваются данными с сервером разработчиков через незащищенное соединение, которое, по словам Мартина Рахманова (Martin Rakhmanov), эксперта компании Trustwave SpiderLabs, легко можно перехватить. Кроме того, возможны самые разные манипуляции, вплоть до того, чтобы заставить клиентскую программу скачать вместо обновления вредонос с сайта под контролем злоумышленников.