Archivio » 2004 » settembre » lunedì 6 »

Win Zip pubblica Service Release 1: in guardia contro i bug

Scritto da Guido Sintoni

Il bollettino rilasciato dalla nota specialista della gestione di archivi compressi è molto dettagliato e fa riferimento ad alcune problematiche di sicurezza piuttosto gravi, fra bachi e - soprattutto - potenziali buffer overflow

Prima “Service release” per Win Zip 9.0. L’aggiornamento contiene “correzioni in chiave di sicurezza e miglioramenti” alla diffusa applicazione per la gestione di archivi compressi. L’azienda produttrice, Win Zip Computing, spiega in un comunicato di aver “identificato alcuni bug di sicurezza e potenziali buffer overflow nelle precedenti versioni” del prodotto.
Quello diramato dal vendor, ancorché in inglese, è un documento di esemplare chiarezza e si rivolge più ai semplici utenti che ai tecnici: per questi ultimi sono più utili gli aggiornamenti curati da aziende specializzate, quali la danese Secunia, che ritiene “estremamente critiche” le vulnerabilità e le descrive dettagliatamente.

Sicurezza e antivirus

» Aiuto! proteggete il mio computer

Il problema maggiore risiede secondo Win Zip Computing in un buffer overflow, ovvero nella possibile sovrascrittura di segmenti di memoria con codice arbitrario. La scoperta è dovuta ad un utente anonimo, ma l’azienda ha subito chiarito che la vulnerabilità non è mai stata sfruttata in attacchi reali.
Il cambiamento più evidente in Win Zip 9.0 Sr-1 è una finestra di avviso che si materializza in circostanze potenzialmente pericolose, per esempio quando l’archivio compresso contiene un eseguibile. Risulta comunque possibile disabilitare il messaggio.
L’avvertimento non compare però per file Html: sarebbe il caso di provvedervi, visto che - complici le ripetute vulnerabilità di Explorer - molti malware li sfruttano, a partire da Bagle e dalle sue svariate mutazioni.
In definitiva, è consigliabile pensionare la propria copia di Win Zip e scaricare la nuova 9.0 Sr-1 presso il sito ufficiale.