Svåra 7-Zip sårbarheter orsakar hög säkerhet, mjukvaruverktyg patch panik

Forskare har upptäckt att 7-Zip hyser ett antal allvarliga säkerhetsbrister som har lämnat utvecklare som genomför programmet rusar för att fastställa hål i sina egna produkter.

7-Zip är ett open-source fil archiver och expanderare som används i en rad olika verktyg och applikationer som även inkluderar AES-256 krypteringsalternativ. Inte bara är 7-Zip som används av tusentals konsumenter, men ett antal teknikbolag och utvecklare genomför också systemet i sina egna verktyg och programvara.

Som vi har hittat med den senaste ImageMagick fel, om en ryggrad mjukvara innehåller allvarliga säkerhetsproblem, innebörden av frågan kan gå längre än bara själva programvaran och påverkar alla webbplatser, system eller andra lösningar som förlitar sig på de utsatta verktyg.

Marcin Noga, en ledande forskningsingenjör med Cisco Security Intelligence och Research Group, Talos, nyligen upptäckt ett antal frågor med 7-Zip.

I ett blogginlägg, bevakningsföretag sade två stora sårbarheter som finns i 7-Zip bibliotek som också kan påverka “säkerhetsanordningar eller antivirusprodukter”, bland andra program.

Den första sårbarhet, CVE-2016-2335, är en out-of-bounds säkerhetsbrist som orsakas av vägen 7-Zip hanterar Universal Disk Format (UDF) filer. När skilje kartor är skannade att hitta objekt i filsystemet, det finns en brist på ordentlig kontroll som kan orsaka en skriv out-of-bounds problem. Om utnyttjas kan cyberattackers använda sårbarheten att köra kod på distans.

Den andra säkerhetsbrist, CVE-2016-2234, är en utnyttjas heap overflow hittades i arkivet :: NHfs :: Chandler :: ExtractZlibFile metod funktionalitet 7-Zip. I programvarans HFS + systemet kan filer lagras i ett komprimerat format med zlib, och beroende på storleken av data, kan denna information lagras i block.

Det finns ingen kontroll för att se om storleken på blocket är större än programvarans buffert, vilket leder till en buffer overflow problem och potentiellt hög korruption.

Noga kommenterade

Talos och 7-Zip har arbetat tillsammans för att åtgärda dessa problem och nu den senaste versionen, 7-Zip v.16.00, finns tillgänglig för nedladdning. Tidigare utgåvor av programvaran är sårbara för dessa frågor och så bör uppdateras omedelbart – och det gäller både konsumenter och alla företag eller utvecklare förlita sig på 7-Zip funktionalitet.

Läs vidare: Top Picks

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Kostnaden för Ransomware attacker: $ 1 miljard år, Chrome och börja märkning HTTP-anslutningar som osäkra, det Hyperledger Project växer som gangbusters, Nu kan du köpa ett USB-minne som förstör allt i sin väg

Apple går serversidan för att fixa Siri låsskärmen bypass säkerhetsbrist, Bug gåvor: Vilket företag erbjuder forskare kontanter, Cyberattackers botch integrationen av Adobe Flash zero-day sårbarhet i utnyttja kit, Möt företag som vill stoppa pirater använder webben tills de betalar upp

Innovation,? M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer