近日，WinZip曝出一个编号为CVE-2025-1240的高危漏洞，远程攻击者可通过利用畸形的7Z压缩包文件，在受影响的系统上执行任意代码。

  影响WinZip 28.0(版本号16022)及更早版本，用户需升级至WinZip29.0以规避风险。

  该漏洞源于WinZip在解析7Z文件数据时验证不充分，导致攻击者可构造恶意压缩包，引发内存中的越界写入。这种内存损坏可被利用，在WinZip进程的上下文中执行代码。

  成功利用该漏洞的攻击者可获得与当前登录用户相同的权限，可能导致以下后果:

  ·安装恶意软件或勒索软件。

  ·窃取敏感数据。

  ·在内部网络中横向移动。

  尽管攻击需要用户交互，但由于7Z文件在软件分发和数据共享中的普遍性，成功的网络钓鱼攻击概率显著增加。

缓解措施与补丁更新

  WinZip已于2024年12月发布的WinZip 29.0(版本号16250)中修复了该漏洞。此次更新还引入了以下增强的安全措施:

  ·升级了7Z和RAR库，以改进文件验证机制。

  ·优化了补丁部署流程，确保用户及时获取关键修复。

  用户建议:

  1.立即通过官方网站或内置更新程序升级至WinZip 29.0。

  2.避免打开来源不明的7Z文件。

  3.启用自动更新功能，防范未来可能的漏洞。