Usuarios de WinZip y Windows 2000 vulnerables a ejecución de código

winzip.jpgSe ha reportado un problema de seguridad en WinZip, una de las aplicaciones más populares para comprimir archivos. Se trata de un fallo que afecta a Windows 2000 y que podría ser aprovechado para ejecutar código arbitrario.

El problema se debe a que las versiones 11.0, 11.1 y 11.2 de WinZip incluye una versión vulnerable de la librería de gráficos de Microsodt gdiplus.dll. Un atacante puede explotar el problema por medio de una imagen maliciosamente modificada al ser visualizada por la víctima.

La versión obsoleta de la librería de gráficos se incluye en WinZip sin importar la versión de Windows, sin embargo sólo en Windows 2000 es que se utiliza esta librería para la vista previa de imágenes comprimidas, por lo tanto este problema no afecta a los usuarios de Windows XP o Windows Vista.

WinZip 11.2 SR-1 y WinZip 12 corrigen este problema reemplazando la versión vulnerable de gdiplus.dll, así que se recomienda a los usuarios de Windows 2000 y WinZip (11.0, 11.1 y 11.2) actualizar cuanto antes para resolver el fallo.

Enlace | WinZip

(vía: heise Security)