USD 77.69 ЕВРО 91.21

Другие новости

Для тех, чья работа обычно за кадром: в Москве учредили премию для специалистов киноиндустрии

Прогулочные маршруты и аудиогиды с ИИ: на портале «Узнай Москву» появилась новогодняя страница

С Московскими видеоиграми познакомятся пользователи из Китая, Индии, Египта и ОАЭ

Партнерские проекты и новые контракты: подведены итоги Московской недели креативных индустрий

ОАЭ, Китай, Индия: на какие рынки планируют выйти московские бренды в 2026 году

Опрос показал неприятие россиянами запретительного подхода к регулированию вейпов

Все новости

Уязвимости в 7-Zip ставят под угрозу многие программные продукты

Экономика

Данные уязвимости могут позволить выполнение произвольного кода, когда библиотека 7-Zip обрабатывает специально созданные файлы.

Две недавно исправленные уязвимости в 7-Zip могут поставить под угрозу многие программные продукты и устройства, которые поставляются в комплекте с open-source библиотекой для архивирования файлов.

Уязвимости out-of-bounds read и переполнение кучи были обнаружены исследователями из команды безопасности Cisco Talos. Они были исправлены в версии 7-Zip 16.00, выпущенной во вторник.

Программное обеспечение 7-Zip может упаковывать и распаковать файлы, используя большое количество форматов архивов, включая свой собственный формат 7z, который является более эффективным, чем ZIP. Универсальность и открытый исходный код делают привлекательным включение его библиотек в другие программные проекты, которые обрабатывают файлы-архивы.

Предыдущие исследования показали, что большинство разработчиков плохо отслеживают уязвимости в стороннем коде, который используют в своих продуктах, и редко обновляют библиотеки, включенные в свои проекты.

«7-Zip поддерживается на всех основных платформах, и является одной из самых популярных архивных утилит», пишут исследователи Cisco Talos в своем блоге. «Пользователи могут удивиться, когда узнают, как много продуктов и устройств касается данная проблема».

Поиск в Google показывает, что 7-Zip используется во многих программных проектах, в том числе в устройствах безопасности и антивирусных продуктах. Многие корпоративные приложения также могут его использовать.

Уязвимость out-of-bounds read, обозначенная как CVE-2016-2335, касается из способа обращения 7-Zip с файлами формата Universal Disk (UDF), в то время как уязвимость переполнения кучи (CVE-2016-2334) касается обработки сжатых файлов библиотекой zlib.

Для того, чтобы эксплуатировать данные уязвимости, злоумышленники могут изготовить специальные файлы в этих форматах и доставить их таким образом, чтобы 7-Zip их обработал.