Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Киберсигурност
07 юни
2018
 
 

Слабост в rar, 7z и др. архиви излага на риск милиони компютри

3627 прочитания

В редица популярни отворени формати за архивиране присъства “структурна” уязвимост, чрез която, с използване на специално подготвени архиви, могат да се извеждат от строя операционни системи. Откритието е на специалисти от британската компания Snyk и е наречено Zip Slip.

Уязвимостта позволява стартиране на произволен код на уязвимите системи. Злоумишленици могат да разрахивират произволен файл, заобикаляйки зададения от системата път и по този начин да заменят например критични системни файлове. Такива биха могли да бъдат библиотеки на операционната система или таблици с настройки на даден сървър.

Слабост в rar, 7z и др. архиви излага на риск милиони компютри

Прочетете още: 10-годишен бъг в Steam е позволявал отдалечено стартиране на произволен код

За възползването от Zip Slip трябва да бъде създаден архив, в който да бъдат задени желаните пътища, където да бъдат копирани съдържащите се в него файлове. Успешното възползване от него комбинира два типа атаки – произволно презаписване на файлове (Arbitrary File Overwrite) и заобикаляне на каталога (Directory Traversal).

Слабостта засяга форматите 7z, apk, cpio, jar, rar, tar и war.

Под заплаха за хиляди проекти, включително разработки на Alibaba, Apache, Amazon, Google, Eclipse, HP, IBM, Linkedin, Oracle, Pivotal, Twitter и др. Специалистите от Snyk публикуваха примерни зловредни архиви, както и видео демонстрация кибер атака с използване на Zip Slip.

Слабостта е открита още през април и експертите от компанията вече са информирали разработчиците на уязвимите библиотеки и приложения. Някои от тях вече са пуснали в обръщение нови версии, където тя е елиминирана.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
Фирмите представят
Преглед на тенденциите и обобщение на ERP пазара през 2018

Преглед на тенденциите и обобщение на ERP пазара през 2018

Какви нови и интересни неща може да ни разкаже Пламен Боев от Елит Софтуер

Слайдшоу
ИНТЕРВЮ
Само за 6 месеца инициативата Vue Vixens е обучила над 400 жениСамо за 6 месеца инициативата Vue Vixens е обучила над 400 жени

Интервю с Джен Лупър, старши developer advocate в Progress и основател на Vue Vixens, лектор на конференцията DevReach 2018

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас