Слабост в rar, 7z и др. архиви излага на риск милиони компютри
В редица известни отворени формати за архивиране участва “структурна” накърнимост, посредством която, с потребление на особено готови архиви, могат да се извеждат от строя операционни системи. Откритието е на експерти от английската компания Snyk и е наречено Zip Slip.
Уязвимостта разрешава пускане на случаен код на уязвимите системи. Злоумишленици могат да разрахивират случаен файл, заобикаляйки заложения от системата път и по този метод да заменят да вземем за пример сериозни систематични файлове. Такива биха могли да бъдат библиотеки на операционната система или таблици с настройки на даден сървър.
За възползването от Zip Slip би трябвало да бъде основан списък, в който да бъдат задени мечтаните пътища, където да бъдат копирани съдържащите се в него файлове. Успешното възползване от него комбинира два вида офанзиви – случайно презаписване на файлове (Arbitrary File Overwrite) и заобикаляне на каталога (Directory Traversal).
Слабостта визира форматите 7z, apk, cpio, jar, rar, tar и war.
Под опасност за хиляди планове, в това число разработки на Alibaba, Apache, Amazon, Гугъл, Eclipse, HP, IBM, Linkedin, Oracle, Pivotal, Twitter и други Специалистите от Snyk разгласиха примерни зловредни архиви, както и видео проява кибер офанзива с потребление на Zip Slip.
Слабостта е открита още през април и специалистите от компанията към този момент са уведомили разработчиците на уязвимите библиотеки и приложения. Някои от тях към този момент са пуснали в послание нови версии, където тя е отстранена.
Уязвимостта разрешава пускане на случаен код на уязвимите системи. Злоумишленици могат да разрахивират случаен файл, заобикаляйки заложения от системата път и по този метод да заменят да вземем за пример сериозни систематични файлове. Такива биха могли да бъдат библиотеки на операционната система или таблици с настройки на даден сървър.
За възползването от Zip Slip би трябвало да бъде основан списък, в който да бъдат задени мечтаните пътища, където да бъдат копирани съдържащите се в него файлове. Успешното възползване от него комбинира два вида офанзиви – случайно презаписване на файлове (Arbitrary File Overwrite) и заобикаляне на каталога (Directory Traversal).
Слабостта визира форматите 7z, apk, cpio, jar, rar, tar и war.
Под опасност за хиляди планове, в това число разработки на Alibaba, Apache, Amazon, Гугъл, Eclipse, HP, IBM, Linkedin, Oracle, Pivotal, Twitter и други Специалистите от Snyk разгласиха примерни зловредни архиви, както и видео проява кибер офанзива с потребление на Zip Slip.
Слабостта е открита още през април и специалистите от компанията към този момент са уведомили разработчиците на уязвимите библиотеки и приложения. Някои от тях към този момент са пуснали в послание нови версии, където тя е отстранена.
Източник: computerworld.bg
КОМЕНТАРИ