发布日期：2004-02-27
更新日期：2004-03-02

受影响系统：

WinZip WinZip 8.1 SR-1
WinZip WinZip 8.1
WinZip WinZip 8.0
WinZip WinZip 7.0

不受影响系统：

WinZip WinZip 9.0

描述：

---

BUGTRAQ  ID: 9758
CVE(CAN) ID: CVE-2004-0333

WinZip是Windows平台下的解压缩工具。

WinZip中的函数在进行部分参数解析时存在问题，远程攻击者可以利用这个漏洞构建恶意压缩文档诱使用户处理，可能以WinZip进程权限在系统上执行任意指令。

问题存在于UUDeview包中，此功能用于支持多个解码函数，当提供超长字符串给部分MIME档((.mim, .uue, .uu, .b64, .bhx, .hqx和.xxe扩展)参数，WinZip会出现"internal error in file misc.c line 132"而崩溃。精心构建恶意压缩档，当目标用户使用Winzip解析MIME时，可触发缓冲区溢出，可能以WinZip进程权限在系统上执行任意指令。

<*来源：iDEFENSE
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107789846720924&w=2
*>

建议：

---

厂商补丁：

WinZip
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

目前的WinZip 9.0已经修正此漏洞，建议用户下载使用：

http://www.winzip.com/

浏览次数：3042
严重程度：0（网友投票）