7-Zip er en populær open source-fil komprimering program som støtter alle større komprimering formater og støtte for en rekke andre funksjoner.
Talos, Cisco selskapet, oppdaget et sikkerhetsproblem i 7-Zip som gjør det mulig for angripere å kjøre kode på datamaskinen systemer som har samme rettigheter som den underliggende prosessen.
For å være presis, sårbarheten ble funnet i koden som håndterer Universal Disk Format (UDF) filer i 7-Zip.
Det er den standard file system for DVD-video og DVD-audio, og brukes til andre optisk plate formater.. sårbarheten tar nytte av feil ved validering av inndata. Hvis du er interessert i mer informasjon, følg linken til Talos blogg som avslører de to sårbarheter som finnes i delsystemet.
Sikkerhetsproblemet har blitt fikset i 7-Zip-16.0 som har blitt utgitt denne måneden.
Problemet
Hvis du bruker 7-Zip, du bør oppdatere programmet umiddelbart for å beskytte systemet fra angrep mot sikkerhetsproblemet.
Det største problemet er imidlertid at tredjepartsprogrammer gjøre bruk av 7-Zip bibliotek, så vel. Dette inkluderer mange komprimering programmer, sikkerhet programvare fra Malwarebytes, og andre programmer som tilbyr eller bruk komprimering-funksjonalitet.
Hvis disse programmene bruker pre-7-Zip-16.0 funksjonene, da de er også sårbare for angrep. Dette er av spesiell betydning når det kommer til sikkerhet programvare som kan kjøre med utvidede rettigheter, mens andre programmer kan ikke nødvendigvis.
Siden koden som en vellykket utnytte kjører på systemet bruker samme rettigheter som vert prosessen, konsekvensene kan bli mer omfattende på grunn av det.
Hva gjør dette spesielt problematisk er at det er ingen måte å finne ut om et program som du bruker, er å gjøre bruk av 7-Zip funksjonene eller ikke. Det er ingen master liste over programmer som kan bruke 7-Zip-komprimering funksjonalitet, og mange utviklere og selskaper som ikke avsløre om 7-Zip, blir brukt.
En av de første programmer for å fikse problemet er populære fil komprimering program PeaZip. Det var nettopp oppdatert til fix 7-Zip et sikkerhetsproblem. Det er sannsynlig at andre programmer vil bli oppdatert i nær fremtid for å bruke den nye faste funksjoner som 7-Zip gir i stedet for sårbare.
Før det skjer, skjønt, de og med dem det underliggende systemet er fortsatt sårbare for angrep.