近日，WinZip曝出一個編號為CVE-2025-1240的高危漏洞，遠程攻擊者可通過利用畸形的7Z壓縮包文件，在受影響的系統上執行任意代碼。該漏洞的CVSS評分為7.8，影響WinZip 28.0（版本號16022）及更早版本，用戶需升級至WinZip 29.0以規避風險。

漏洞成因與利用條件

該漏洞源于WinZip在解析7Z文件數據時驗證不充分，導致攻擊者可構造惡意壓縮包，引發內存中的越界寫入。這種內存損壞可被利用，在WinZip進程的上下文中執行代碼，如果與其他漏洞結合使用，甚至可能導致整個系統被攻陷。

關鍵利用條件包括：

• 用戶交互（例如打開惡意7Z文件或訪問被入侵的網頁）。
• 攻擊針對WinZip的7Z文件處理組件，這是壓縮數據的常見格式。

安全公司Zero Day Initiative（ZDI）將該漏洞編號為ZDI-CAN-24986，并指出鑒于WinZip在全球范圍內的廣泛用戶基礎，該漏洞存在被大規模濫用的風險。

影響與潛在風險

成功利用該漏洞的攻擊者可獲得與當前登錄用戶相同的權限，可能導致以下后果：

• 安裝惡意軟件或勒索軟件。
• 竊取敏感數據。
• 在內部網絡中橫向移動。

盡管攻擊需要用戶交互，但由于7Z文件在軟件分發和數據共享中的普遍性，成功的網絡釣魚攻擊概率顯著增加。

緩解措施與補丁更新

WinZip已于2024年12月發布的WinZip 29.0（版本號16250）中修復了該漏洞。此次更新還引入了以下增強的安全措施：

• 升級了7Z和RAR庫，以改進文件驗證機制。
• 優化了補丁部署流程，確保用戶及時獲取關鍵修復。

用戶建議：

• 立即通過官方網站或內置更新程序升級至WinZip 29.0。
• 避免打開來源不明的7Z文件。
• 啟用自動更新功能，防范未來可能的漏洞。

行業背景與警示

該漏洞的曝光正值文件解析漏洞激增之際，例如最近曝光的Windows OLE零點擊漏洞（CVE-2025-21298）就允許通過惡意電子郵件實現遠程代碼執行。這類事件凸顯了主動補丁管理的重要性，尤其是像WinZip這樣年處理超過10億壓縮文件的廣泛使用工具。

安全分析師呼吁各組織優先更新受影響的軟件，并教育用戶識別可疑的文件附件。WinZip對CVE-2025-1240的迅速響應也體現了廠商在網絡安全中的責任。用戶和企業應盡快應用更新，以化解這一高風險威脅。