7-Zip ist ein beliebtes open-source-Datei-Komprimierung-Programm, das unterstützt alle gängigen Kompressions-Formate und die Unterstützung für eine Vielzahl von anderen Funktionen.
Talos, ein Cisco-Unternehmen, entdeckt eine Schwachstelle in 7-Zip erlaubt Angreifern das ausführen von code auf computer-Systeme, hat die gleichen Rechte wie der zu Grunde liegende Prozess.
Um genau zu sein, die Schwachstelle im code, handle Universal Disk Format (UDF) – Dateien in 7-Zip.
Es ist das Standard-Dateisystem für DVD-video und DVD-audio, und für andere optische disc-Formate.. Die Sicherheitsanfälligkeit nutzt, fehlerhafte input-Validierung. Wenn Sie an details interessiert sind, Folgen Sie dem link, um die Talos-blog, die zeigt, das zwei Sicherheitslücken gefunden, die in das subsystem.
Die Schwachstelle wurde behoben, die 7-Zip-16.0 wurde veröffentlicht in diesem Monat.
Das Problem
Wenn Sie mit 7-Zip aktualisieren Sie das Programm sofort, um den Schutz des Systems vor Angriffen auf die Schwachstelle.
Das Hauptproblem ist jedoch, dass third-party-Programme nutzen 7-Zip – Bibliotheken. Dies beinhaltet viele Komprimierungs-Programme, Sicherheits-software von Malwarebytes und andere Programme, bieten oder verwenden der Komprimierung Funktionalität.
Wenn Sie diese Programme verwenden pre-7-Zip-16.0 Funktionen sind, dann sind Sie auch anfällig für den Angriff. Dies ist von besonderer Bedeutung, wenn es um Sicherheits-software, wie es laufen kann mit erhöhten rechten, während andere Programme vielleicht nicht unbedingt.
Da der code, der einen erfolgreichen exploit läuft auf dem system verwendet die gleichen Rechte wie der host-Prozess, Folgen können weitreichender, weil es.
Was macht diese besonders problematisch ist, dass es keine Möglichkeit herauszufinden, ob ein Programm, das Sie verwenden, ist die Nutzung von 7-Zip-Funktionen oder nicht. Es gibt keine master-Liste von Programmen, die Verwendung von 7-Zip für die Komprimierung Funktionalität, und viele Entwickler und Unternehmen nicht offen legen, wenn 7-Zip verwendet wird.
Eines der ersten Programme, das Problem zu beheben ist der beliebte Datei-Komprimierung Programm PeaZip. Es wurde nur aktualisiert, um fix die 7-Zip-Schwachstelle. Es ist wahrscheinlich, dass andere Programme aktualisiert werden, die in Naher Zukunft der Einsatz der neuen festen Funktionen, 7-Zip liefert anstelle der schwächsten.
Bis dies passiert, werden Sie und mit Ihnen das zugrunde liegende system weiterhin anfällig für den Angriff.