Hãng WinZip Computing vừa thông báo, phiên bản 9.0 của trình nén file phổ dụng cùng tên bị một điểm yếu có thể khiến nó trở nên sơ hở trước nhiều kiểu tấn công. Để khắc phục, công ty đã đưa ra bản nâng cấp Service Release 1. 

Theo WinZip, những lỗ hổng bảo mật này được phát hiện trong một báo cáo nội bộ và chưa có thông báo nào về việc các khiếm khuyết bị khai thác. Hãng khuyến cáo các phiên bản trước của trình nén file cũng có lỗi tương tự và người dùng nên nâng cấp miễn phí với Service Realease 1.  

Bản nâng cấp Service Realease 1 có bổ sung cảnh báo về bảo mật khi người dùng cố chạy các file nguy hiểm từ trong WinZip. Tuy nhiên, các chuyên viên của tạp chí eWeek phát hiện Service Realease 1 chỉ cảnh báo khi họ cố mở file EXE, còn khi mở file HTML thì không có tín hiệu báo nguy nào, mặc dù trước đó các quan chức của WinZip từng thừa nhận có nhiều cuộc tấn công dựa trên file HTML nén, chẳng hạn như sâu Bagle chỉ hoạt động trên Windows XP do tính năng nén thư mục (Compressed Folders) của hệ điều hành này. (Bagle làm cho các tập tin con trong file ZIP “có vẻ” cùng chung thư mục, cho phép chúng kích hoạt lẫn nhau). 

Đây không phải là lỗi đầu tiên được phát hiện trong WinZip. Đầu năm nay, các nhà nghiên cứu bảo mật phát hiện một trục trặc trong định dạng mã hóa MIME. Khi được mở, file này sẽ “dụ” WinZip chạy đoạn mã chứa trong tập tin đính kèm. Thông thường, WinZip ít xử lý file tự chạy nên nhiều người dùng không ngần ngại mở file đính kèm của chương trình này dù nó đến từ các nguồn không rõ ràng, khiến nguy cơ bị tấn công càng trở nên cao hơn.