USD 65.99 ЕВРО 74.9

Уязвимости в 7-Zip ставят под угрозу многие программные продукты

Экономика

Данные уязвимости могут позволить выполнение произвольного кода, когда библиотека 7-Zip обрабатывает специально созданные файлы.

Две недавно исправленные уязвимости в 7-Zip могут поставить под угрозу многие программные продукты и устройства, которые поставляются в комплекте с open-source библиотекой для архивирования файлов.

Уязвимости out-of-bounds read и переполнение кучи были обнаружены исследователями из команды безопасности Cisco Talos. Они были исправлены в версии 7-Zip 16.00, выпущенной во вторник.

Программное обеспечение 7-Zip может упаковывать и распаковать файлы, используя большое количество форматов архивов, включая свой собственный формат 7z, который является более эффективным, чем ZIP. Универсальность и открытый исходный код делают привлекательным включение его библиотек в другие программные проекты, которые обрабатывают файлы-архивы.

Предыдущие исследования показали, что большинство разработчиков плохо отслеживают уязвимости в стороннем коде, который используют в своих продуктах, и редко обновляют библиотеки, включенные в свои проекты.

«7-Zip поддерживается на всех основных платформах, и является одной из самых популярных архивных утилит», пишут исследователи Cisco Talos в своем блоге. «Пользователи могут удивиться, когда узнают, как много продуктов и устройств касается данная проблема».

Поиск в Google показывает, что 7-Zip используется во многих программных проектах, в том числе в устройствах безопасности и антивирусных продуктах. Многие корпоративные приложения также могут его использовать.

Уязвимость out-of-bounds read, обозначенная как CVE-2016-2335, касается из способа обращения 7-Zip с файлами формата Universal Disk (UDF), в то время как уязвимость переполнения кучи (CVE-2016-2334) касается обработки сжатых файлов библиотекой zlib.

Для того, чтобы эксплуатировать данные уязвимости, злоумышленники могут изготовить специальные файлы в этих форматах и доставить их таким образом, чтобы 7-Zip их обработал.