Situace je nepříjemná nejen v tom, že se
bavíme o jenom z nejpopulárnějších nástrojů svého
druhu, ale také kvůli tomu, že knihovny 7-Zipu používá řada
dalších programů. I ty mohou být tím pádem zranitelné,
pokud neaktualizují. Doufejme, že výrobci co nejrychleji
zareagují.
Jedna z děr se týká formátu UDF, druhá
metody ExtractZlibFile. V obou případech výzkumný tým
přičítá díru tomu, že 7-Zip nedokáže pořádně ověřit
vstupní data. Proto když mu podstrčíte podvržené soubory, může
dojít k problému. Všechno ale dobře dopadlo, Talos
spolupracoval s Igorem Pavlovem a zranitelná místa byla
ošetřena. Obě chyby byly potvrzeny ve verzích 7-Zipu 15.05 beta
a 9.20.
Zdroj: Cisco
Talos Blog via gHacks
Tech News