В популярном архиваторе 7-Zip исправили серьезные уязвимости

    Автор известного архиватора 7-Zip Игорь Павлов анонсировал выпуск новой его версии v16. Мы настоятельно рекомендуем всем пользователям обновиться до этой версии, поскольку в ней исправлено несколько серьезных уязвимостей, обнаруженных ранее группой исследователей Cisco Talos. Уязвимости позволяют злоумышленникам удаленно исполнить код в системе пользователя путем отправки тому специальным образом сформированного файла, который предназначен для открытия 7-Zip. После открытия такого файла в системе пользователя будет исполнен вредоносный код.



    Обе уязвимости относятся к неправильной работе кода 7-Zip с памятью, одна из них с идентификатором CVE-2016-2335 относится к типу out-of-bound read (чтение за пределами буфера) при работе с файлами типа Universal Disk Format (UDF), а другая CVE-2016-2334 к buffer-overflow (порча памяти за границей буфера) при работе с файлами формата HFS+.

    Скачать актуальную версию 7-Zip можно по этой ссылке.
    ESET NOD32
    Company
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 22

      +1
      А версия 9.20 подвержена этой уязвимости?
      Что-то не смог с ходу найти информацию…
        0
        Вот тут и здесь в качестве «Tested versions» указаны 7-Zip [32] 15.05 beta и 7-Zip [64] 9.20, но в обеих ли присутствует уязвимость — непонятно…
          +1
          Users are urged to update their vulnerable versions of 7-Zip to the latest revision, version 16.00, as soon as possible.
            0
            Это да, но на сайте 7-Zip на странице "Downloads" прямо явно видны две ветки: с последней версией 16.00 и с последней версией 9.20.

            Вот скриншот:

            Часто бывает так, что у программы несколько стабильных веток, и в более новой версии с кучей новых плюшек, ванильным интерфейсиком и голосовой почтой, находят уязвимости, а в старой версии, брутальной и простой, этих уязвимостей нет. Так что хотелось бы понять, входит ли 9.20 в «their vulnerable versions» или нет.)
            +1
            Да, и если предположить, что у этих версий уязвимость есть, то есть ли она и у 7-Zip [32] 9.20?
              +1
              В комментах у талос и у ласт релиза на сф есть непроверенное никем заявление пользователя, проверившего исходники. Он заявляет что уязвимость с удаленным исполнением кода есть в 9.20 и может быть в том числе в ранних версиях начиная с версии где включили поддержку UDF и HFS+
            0
            Возник вопрос, тоже с безопасностью, но точки зрения анонимности.
            Потенциально, архиваторы могут сохранять в архивах некоторую информацию о компьютере, на котором создавался архив (в том числе и неявно, например в каком-то зашифрованном и «размазанном» по всему архиву виде). Различные id железа, mac и ip адрес, идентификатор пользователя в ОС (в том числе и привязка к облачным сервисам ОС) и т.д.

            На первый взгляд, проверить это можно достаточно просто: сделать архив из одинакового набора файлов на разных компьютерах и сравнить побайтово. Но теоретически активация такой скрытой записи id может осуществляться не всегда, а по каким-то признакам — специальные имена и расширения файлов и т.п.

            Интересно, проводятся ли подобные исследования и проверки безопасности архиваторов?
              0
              Зачем это делать? И каким образом такие данные потом считывать (и кто будет их считывать, явно не автор архиватора же).
              Или это намёк на то, что такая информация может быть полезна разного рода спецслужбам — типа перехватили некий архив, хотим узнать, кто его создал?
                +1
                Именно, закладка для спецслужб.
                  0
                  Ну как мне кажется, если спецслужбы найдут на неком файл-хостинге какой-то архив — они и без всяких закладок потребуют у хостинга IP залившего файл. Я даже не удивлюсь, если такие данные сайты законодательно обязаны хранить а течение какой-то срока.

                  Разве что — если файл через Tor был загружен…
                    0
                    Да, я имею в виду загрузку через Tor.
                    Вот сейчас сделал два архива из одного и того же набора файлов, на одном и том же компьютере, с одним и тем же паролем (через 7z) — в итоге только размер одинаковый, а двоично вообще разные. Откуда вывод — при шифровании используется не только пароль, но и случайные числа. Или не только случайные, но и вполне конкретные — например время создания и уникальный идентификатор машины.
                    У 7z исходники открыты, можно конечно посмотреть. И стало даже интересно посмотреть другие архиваторы.
                    • UFO just landed and posted this here
                        +1
                        Дело в том, что 7-zip при шифровании архива использует не непосредственно пароль, а некий производный от пароля ключ зашифрованный «солью», которая каждый раз генерируется заново, следовательно каждый архив, даже защищенный одним и тем же паролем будет отличаться от всех остальных.
                        Это необходимо для того, чтобы было невозможно перебрать за разумное время пароли по словарю или радужным таблицам.
                        Вот файл, в котором определены алгоритмы шифрования для архива 7z: 7-zip/CPP/7zip/Crypto/7zAes.cpp
                          0
                          Edited Не успел.
                          0
                          Правильное симметричное шифрование обязательно использует синхропосылку (initialization vector) в сочетании с одним из режимов обратной связи (mode of operation) именно для того, чтобы одинаковая входная информация давала каждый раз совершенно иной результат.
                            0
                            Так и есть. Согласно законодательству все хостеры обязаны хранить время и IP входов.
                        +2
                        Многие постоянно забывают, что tar сохраняет имя пользователя и группы у файлов, не числовой идентификатор, а именно строку. Ну и еще в GZIP-ответе некоторых серверов есть timestamp, по которому можно установить таймзону сервера, но это очень редко.
                          0
                          Век живи, век учись!
                            0
                            7-zip же open-source, никто не мешает посмотреть, что и как он делает…
                            0
                            А какое имеет отношение архиватор к UDF и HFS+, если это файловые системы? LZMA тоже в опасности, ведь алгоритм вроде тот же самый?
                              +1
                              7zip поддерживает довольно большое количество архивов, образов дисков и разделов, UDF и HFS+ в их числе.

                            Only users with full accounts can post comments. Log in, please.