USD 80.97 ЕВРО 94.08

Другие новости

Почему запрет повышает потребление алкоголя. Жесткие меры не работают — психологи

Аналитика доходности ASIC-майнеров и динамики BTC за сентябрь 2025 года

Заявки на конкурс «Лидеры цифровой трансформации» в Москве поступили из 27 стран

Более пяти тысяч участников объединил Moscow Startup Summit

Москвичи высоко оценили проект для владельцев собак «Друг, спасатель, защитник»

Уже более 14 тысяч москвичей подали заявки на вступление в волонтерский корпус 80-летия Победы

Все новости

Уязвимости в 7-Zip ставят под угрозу многие программные продукты

Экономика

Данные уязвимости могут позволить выполнение произвольного кода, когда библиотека 7-Zip обрабатывает специально созданные файлы.

Две недавно исправленные уязвимости в 7-Zip могут поставить под угрозу многие программные продукты и устройства, которые поставляются в комплекте с open-source библиотекой для архивирования файлов.

Уязвимости out-of-bounds read и переполнение кучи были обнаружены исследователями из команды безопасности Cisco Talos. Они были исправлены в версии 7-Zip 16.00, выпущенной во вторник.

Программное обеспечение 7-Zip может упаковывать и распаковать файлы, используя большое количество форматов архивов, включая свой собственный формат 7z, который является более эффективным, чем ZIP. Универсальность и открытый исходный код делают привлекательным включение его библиотек в другие программные проекты, которые обрабатывают файлы-архивы.

Предыдущие исследования показали, что большинство разработчиков плохо отслеживают уязвимости в стороннем коде, который используют в своих продуктах, и редко обновляют библиотеки, включенные в свои проекты.

«7-Zip поддерживается на всех основных платформах, и является одной из самых популярных архивных утилит», пишут исследователи Cisco Talos в своем блоге. «Пользователи могут удивиться, когда узнают, как много продуктов и устройств касается данная проблема».

Поиск в Google показывает, что 7-Zip используется во многих программных проектах, в том числе в устройствах безопасности и антивирусных продуктах. Многие корпоративные приложения также могут его использовать.

Уязвимость out-of-bounds read, обозначенная как CVE-2016-2335, касается из способа обращения 7-Zip с файлами формата Universal Disk (UDF), в то время как уязвимость переполнения кучи (CVE-2016-2334) касается обработки сжатых файлов библиотекой zlib.

Для того, чтобы эксплуатировать данные уязвимости, злоумышленники могут изготовить специальные файлы в этих форматах и доставить их таким образом, чтобы 7-Zip их обработал.