CVE-2025-1240 olarak izlenen Winzip’te yeni açıklanan yüksek şiddetli bir güvenlik açığı, uzaktan saldırganların, kötü formlu 7Z arşiv dosyalarını kullanarak etkilenen sistemlerde keyfi kod yürütmelerini sağlar.
CVSS ölçeğinde 7.8 olarak derecelendirilen kusur, Winzip 28.0’ı (Build 16022) ve önceki sürümleri etkiler ve kullanıcıların riskleri azaltmak için Winzip 29.0’a güncellemelerini gerektirir.
Winzip Güvenlik Açığı-CVE-2025-1240
Güvenlik açığı, ayrıştırma sırasında 7Z dosya verisinin yetersiz validasyonundan kaynaklanır ve saldırganların bellekte yazılmasına neden olan kötü amaçlı arşivler oluşturmasına izin verir.
Bu yolsuzluk, Winzip süreci bağlamında kod yürütmek için kullanılabilir ve potansiyel olarak ek istismarlarla eşleştirilirse tam sistem uzlaşmasını sağlar.
Anahtar Sömürü Gereksinimleri:
- Kullanıcı etkileşimi (kötü niyetli bir 7z dosyası açma veya tehlikeye atılan bir web sayfasını ziyaret etme).
- Sıkıştırılmış veriler için ortak bir format olan Winzip’in 7Z dosya işleme bileşenini hedeflemektedir.
Güvenlik firması Sıfır Günü Girişimi (ZDI), Winzip’in küresel kullanıcı tabanı göz önüne alındığında, yaygın istismar potansiyelini not ederek ZDI-CAN-24986 olarak kusuru detaylandırdı.
Etki ve Riskler
Başarılı sömürü, saldırganlara giriş kullanıcısı ile aynı ayrıcalıkları verir. Bu:
- Kötü amaçlı yazılım veya fidye yazılımının kurulumu.
- Hassas verilerin hırsızlığı.
- Ağlar içinde yanal hareket.
Saldırı kullanıcı etkileşimi gerektirirken, yazılım dağıtımında ve veri paylaşımında 7Z dosyalarının yaygınlığı başarılı kimlik avı kampanyaları olasılığını artırır.
Hafifletme ve yamalar
Winzip Computing, Aralık 2024’te piyasaya sürülen 29.0 sürümündeki (Build 16250) kusuru ele aldı. Güncelleme, aşağıdakiler de dahil olmak üzere gelişmiş güvenlik önlemleri de getirdi.
- Geliştirilmiş dosya doğrulaması için 7Z ve RAR kitaplıklarını güncelledi.
- Kullanıcıların derhal kritik düzeltmeler almasını sağlamak için aerodinamik yama dağıtım.
Kullanıcılar için öneriler:
- Resmi web sitesi veya yerleşik güncelleyici aracılığıyla hemen Winzip 29.0’a yükseltin.
- Güvenilmeyen kaynaklardan 7z dosyasını açmaktan kaçının.
- Gelecekteki güvenlik açıklarına karşı korunmak için otomatik güncellemeleri etkinleştirin.
Bu güvenlik açığı, RCE’ye kötü niyetli e-postalar yoluyla izin veren yeni bir Windows OLE sıfır-tıkaç kusuru (CVE-2025-21298) dahil olmak üzere dosya-parlatma istismarlarında bir artışı izler. Bu tür olaylar, özellikle Winzip gibi, yılda 1 milyardan fazla sıkıştırılmış dosyayı işleyen yaygın olarak kullanılan kamu hizmetleri için proaktif yama yönetiminin önemini vurgulamaktadır.
Güvenlik analistleri, kuruluşları etkilenen yazılımı güncellemeye ve kullanıcıları şüpheli dosya eklerini tanıma konusunda eğitmeye çağırıyor.
Winzip’in CVE-2025-1240’a hızlı yanıtı, satıcı hesap verebilirliğinin siber güvenlikte kritik rolünü vurgulamaktadır. Kullanıcılara ve işletmelerin bu yüksek riskli tehdidi etkisiz hale getirmek için hızlı bir şekilde güncellemeler uygulamaları tavsiye edilir.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri