Критична уязвимост в 7-Zip застрашава милиони устройства
Открита е накърнимост в архиватора на файлове 7-Zip, която разрешава на атакуващите да извършват отдалечено злотворен код посредством особено готови архиви. За да отстранят казуса, разработчиците са пуснали актуализация, която би трябвало да се конфигурира ръчно, защото програмата не поддържа автоматизирани актуализации.
Уязвимостта, записана като CVE-2024-11477 с оценка на опасността по CVSS от 7,8 е обвързвана с незадоволително валидиране на входните данни при обработката на файлове, компресирани по логаритъма Zstandard. Това може да докара до препълване на паметта и инжектиране на злотворен код. Zstandard се употребява интензивно в системи като Btrfs, SquashFS и OpenZFS, както и за компресиране на HTTP, заради високата си скорост и успеваемост на компресиране.
Хакери могат да се възползват от уязвимостта, като изпращат особено готови архиви на консуматори на 7-Ziр, да вземем за пример посредством е-поща или шерване в мрежата. Когато подобен файл бъде отворен, посредством него може да се инжектира злотворен код.
Проблемът е разпознат от откриватели от самодейността Zero-Day Initiative на Trend Micro през юни 2024 година и е отхвърлен във версия 7-Zip 24.07. В момента е налична обновена версия 24.08, която може да бъде изтеглена тук. На потребителите се предлага да конфигурират най-новата версия. Ако потреблението на 7-Zip не е належащо се предлага деинсталирането на програмата, защото актуалните версии на Windows File Explorer поддържат работа с файлове на 7-Zip по дифолт.
