Другие новости
ИИ, VR и AR: какие технологии знакомят туристов с Москвой
Проект «Московский завтрак на верандах» объединит более 500 ресторанов и кафе
«Воздушный трамвай»: миллионный пассажир прокатился по канатной дороге на ВДНХ
Кинопарк «Москино» приглашает москвичей и туристов на программу к юбилею Победы
Уязвимости в 7-Zip ставят под угрозу многие программные продукты
Экономика
Данные уязвимости могут позволить выполнение произвольного кода, когда библиотека 7-Zip обрабатывает специально созданные файлы.
Две недавно исправленные уязвимости в 7-Zip могут поставить под угрозу многие программные продукты и устройства, которые поставляются в комплекте с open-source библиотекой для архивирования файлов.
Уязвимости out-of-bounds read и переполнение кучи были обнаружены исследователями из команды безопасности Cisco Talos. Они были исправлены в версии 7-Zip 16.00, выпущенной во вторник.
Программное обеспечение 7-Zip может упаковывать и распаковать файлы, используя большое количество форматов архивов, включая свой собственный формат 7z, который является более эффективным, чем ZIP. Универсальность и открытый исходный код делают привлекательным включение его библиотек в другие программные проекты, которые обрабатывают файлы-архивы.
Предыдущие исследования показали, что большинство разработчиков плохо отслеживают уязвимости в стороннем коде, который используют в своих продуктах, и редко обновляют библиотеки, включенные в свои проекты.
«7-Zip поддерживается на всех основных платформах, и является одной из самых популярных архивных утилит», пишут исследователи Cisco Talos в своем блоге. «Пользователи могут удивиться, когда узнают, как много продуктов и устройств касается данная проблема».
Поиск в Google показывает, что 7-Zip используется во многих программных проектах, в том числе в устройствах безопасности и антивирусных продуктах. Многие корпоративные приложения также могут его использовать.
Уязвимость out-of-bounds read, обозначенная как CVE-2016-2335, касается из способа обращения 7-Zip с файлами формата Universal Disk (UDF), в то время как уязвимость переполнения кучи (CVE-2016-2334) касается обработки сжатых файлов библиотекой zlib.
Для того, чтобы эксплуатировать данные уязвимости, злоумышленники могут изготовить специальные файлы в этих форматах и доставить их таким образом, чтобы 7-Zip их обработал.
