Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Киберсигурност
07 юни
2018
 
 

Слабост в rar, 7z и др. архиви излага на риск милиони компютри

3492 прочитания

В редица популярни отворени формати за архивиране присъства “структурна” уязвимост, чрез която, с използване на специално подготвени архиви, могат да се извеждат от строя операционни системи. Откритието е на специалисти от британската компания Snyk и е наречено Zip Slip.

Уязвимостта позволява стартиране на произволен код на уязвимите системи. Злоумишленици могат да разрахивират произволен файл, заобикаляйки зададения от системата път и по този начин да заменят например критични системни файлове. Такива биха могли да бъдат библиотеки на операционната система или таблици с настройки на даден сървър.

Слабост в rar, 7z и др. архиви излага на риск милиони компютри

Прочетете още: 10-годишен бъг в Steam е позволявал отдалечено стартиране на произволен код

За възползването от Zip Slip трябва да бъде създаден архив, в който да бъдат задени желаните пътища, където да бъдат копирани съдържащите се в него файлове. Успешното възползване от него комбинира два типа атаки – произволно презаписване на файлове (Arbitrary File Overwrite) и заобикаляне на каталога (Directory Traversal).

Слабостта засяга форматите 7z, apk, cpio, jar, rar, tar и war.

Под заплаха за хиляди проекти, включително разработки на Alibaba, Apache, Amazon, Google, Eclipse, HP, IBM, Linkedin, Oracle, Pivotal, Twitter и др. Специалистите от Snyk публикуваха примерни зловредни архиви, както и видео демонстрация кибер атака с използване на Zip Slip.

Слабостта е открита още през април и експертите от компанията вече са информирали разработчиците на уязвимите библиотеки и приложения. Някои от тях вече са пуснали в обръщение нови версии, където тя е елиминирана.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ

Слайдшоу
ИНТЕРВЮ
Сергей Белоусов, Acronis: Отваряме развоен център в СофияСергей Белоусов, Acronis: Отваряме развоен център в София

Сингапурският специалист в областта на архивирането, възстановяването и защитата на данни създава свой голям инженерингов център в София, в който до 2-3 години трябва да работят над 200 високовалифицирани специалисти. Това обяви главният...

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас