V 7-Zipe vážne bezpečnostné chyby, ovplyvnené aj ďalšie softvéry

Značky: bezpečnosťsoftvérkompresia

DSL.sk, 13.5.2016

V populárnom kompresnom softvéri 7-Zip sa nachádzajú dve vážne bezpečnostné chyby, ktoré môžu pri dekomprimovaní podvrhnutých archívov viesť k spusteniu útočníkom zvoleného kódu a tým k získaniu kontroly nad PC.

Chyby identifikovala a upozornila na ne bezpečnostná divízia spoločnosti Cisco.

Dve chyby sa nachádzajú v kóde pre dekompresiu nie bežne používaných formátov, obrazov HFS+ a UDF súborových systémov. V kóde pre HFS+ sa nachádza chyba typu pretečenia buffera na heape, v UDF chyba typu čítania z adries mimo buffera. Obe môžu podľa bezpečnostných expertov viesť k spusteniu útočníkom zvoleného kódu.

Zraniteľnosti boli odstránené v novej verzii 16.00, ktorú je možné sťahovať zo 7-zip.org/download.html.

Dopad zraniteľností je ale vážnejší ako len na samotných užívateľov softvéru 7-Zip. Knižnice tohto populárneho softvéru, ktorý je open source, totiž využívajú aj ďalšie softvéry a zariadenia a zraniteľní sú aj ich užívatelia. U ostatných produktov môže vydanie opravených verzií prísť neskôr alebo dokonca vôbec.

Ich vyčerpávajúci zoznam nie je k dispozícii, jednoduché hľadanie odkazu na licenciu softvéru ale odhaľuje množstvo softvéru a zariadení zrejme používajúcich knižnice 7-zipu vrátane bezpečnostného softvéru a úložných zariadení.




Najnovšie články:



Diskusia:

....... Od: 1337 | Pridané: 13.5.2016 10:00 Posielam winrar Odpovedať Známka: -2.4 Hodnotiť:

Re: ....... Od: Samael | Pridané: 13.5.2016 10:09 Nikdy som nevedel pochopiť prečo ľudia používajú (kupujú, alebo kradnú) winrar, keď 7-zip je zadarmo a podporuje oveľa viac formátov (samozrejme že aj rar).... vie niekto prečo? Odpovedať Známka: 4.6 Hodnotiť:

Re: ....... Od: Aligator Rex | Pridané: 13.5.2016 10:19 Zlozvyk, konzervativizmus, nechut sa ucit nieco nove, nechut zistovat alternativy Odpovedať Známka: 8.9 Hodnotiť:

Re: ....... Od: Alfred123 | Pridané: 13.5.2016 22:33 Lebo ma debilne GUI napriklad.... WinRAR ma celkom slusne a nie taky grc ako 7zip Odpovedať Známka: -3.9 Hodnotiť:

Re: ....... Od: bezpecnostny expert | Pridané: 13.5.2016 10:19 Lebo vsetci uz tusili ze v 7-zip budu dake kriticke chyby Odpovedať Známka: 6.7 Hodnotiť:

Re: ....... Od: Hamburger Rex | Pridané: 13.5.2016 10:20 ... a to este davno pred uvedenim 7zipu... Odpovedať Známka: 8.3 Hodnotiť:

Re: ....... Od: xsdsdsd | Pridané: 13.5.2016 10:21 ja napriklad nechapem preco ludia na OS X nepouzivvaju tar+bzip :) ale kupia si GUI verziu tarka a archivy robia cez to pripadne cez 7 zip Odpovedať Známka: 8.2 Hodnotiť:

Re: ....... Od: TomAtom | Pridané: 13.5.2016 10:36 Nic v zlom (sam mam uz par rokov 7zip) - ale 7zip podporuje rar len co sa rozbalenia tyka, nevie donho komprimovat, nie? Na margo, ak by niekto chcel teda vyslovene do rar pakovat. PS Skor mi pride cudne, ze na webe isteho ministerstva vidim na stiahnutie obycajny word (naviac maly) zbaleny do RAR. Do propietarneho formatu... Odpovedať Známka: 8.9 Hodnotiť:

Re: ....... Od: Jamicon | Pridané: 13.5.2016 12:17 Word tiež nie je dvakrát otvorený formát, bohužiaľ na našich úradov nič iné ako M$ widle formáty nepoznajú. Odpovedať Známka: 8.3 Hodnotiť:

Re: ....... Od: syntaxterrorX | Pridané: 13.5.2016 12:19 Náhodou, aj PDF forms celkom letia. Odpovedať Známka: -3.3 Hodnotiť:

Pracoval som v štátnej administratíve Od: JAN8547 | Pridané: 13.5.2016 15:51 Pracoval som na úrade viac ako 5 rokov a podľa pokynov z ministerstva už pred mnohými rokmi, by sa dokumenty mali zverejňovať vo formáte RTF a tiež už roky používame 7-zip, žiaľ od windowsov sa nevieme, ešte stále odpútať. Odpovedať Známka: 8.0 Hodnotiť:

Re: ....... Od: trololoman | Pridané: 13.5.2016 11:19 Ja 7zip nepouzivam prave preto ze nevie pakovat do rar a nepaci sa mi gui. Mozno by sa to dalo doladit, ale nechce sa mi s tym srat tak ho nepouzivam. Odpovedať Známka: -0.5 Hodnotiť:

Re: ....... Od: b2un0 | Pridané: 13.5.2016 18:21 7z kompresia je minimalne na urovni rar, ak nie vyssie. Odpovedať Známka: 8.6 Hodnotiť:

Re: ....... Od: syntaxterrorX | Pridané: 13.5.2016 18:29 A to nielen pri mp3, ale najmä H.265, kde je že už úplne najsamvyššie. Odpovedať Známka: -2.5 Hodnotiť:

Re: ....... Od: Arch Bastard | Pridané: 13.5.2016 11:34 ok, tak pome na to, budem hovorit o predchadzajucej verzii kedze 15 visla iba pred 5 mesiacmi, takze preco som pouzival winrar cele tie roky pred - ikony v kontext menu zrychlia navigaciu a chybaju ak si clovek zvykne (od v15 to uz ma zip tiez) - rychlost, winrar bol rychlejsi pry velkych archivoch - mudra ponuka, ked kliknem pravym na archiv tak winrar neponukne moznosti na zbalenie, iba rozbalenie, winzip ponukne(zipom nie ale inym archyvom ano) - updatovany casto a nie 7 rokov stara verzia - to ze je plateny vobec neovplyvnuje jeho pouzivanie winrar je velmi dobry software, to je vsetko zip dobieha Odpovedať Známka: -1.9 Hodnotiť:

Re: ....... Od: abrakadabra | Pridané: 13.5.2016 13:04 ano, 7-zip a WinZip je to iste, preco nie Odpovedať Známka: 2.0 Hodnotiť:

Re: ....... Od: Arch Bastard | Pridané: 13.5.2016 17:47 preklep, nikdy som nemyslel winzip ako bolo zjavne kedze som hovoril o verzii v15 v16 Odpovedať Hodnotiť:

vMaPYUKabVVsVYud Od: JimmiXS | Pridané: 8.8.2016 9:37 RQTfoD http://www.FyLitCl7Pf7kjQdDUOLQOuaxTXbj5iNG.com Odpovedať Hodnotiť:

nemchápem Od: Ferikuš | Pridané: 13.5.2016 11:02 ako nejaký kkt mohol v tom Microshite naprogramovať niečo také, že po buffer pretečení sa môže spúšťať nejaký kod, do piče však to má byť ošetrene predsa úplne inak, nie aby sa po chybe spúšťal nejaký podvrhnutý kod, čo sú tam úplne mimo ? Odpovedať Známka: -6.2 Hodnotiť:

Re: nemchápem Od: Kekeket | Pridané: 13.5.2016 11:15 Nechápem čo s tým má Microsoft podľa teba. Podľa správne chápem tak táto zraniteľnosť sa tyka Apple systémov keďže HFS je file system od Apple a používa ho os x Odpovedať Známka: 4.7 Hodnotiť:

Re: nemchápem Od: Kekeket | Pridané: 13.5.2016 11:15 Nechápem čo s tým má Microsoft podľa teba. Pokiaľ správne chápem tak táto zraniteľnosť sa tyka Apple systémov keďže HFS je file system od Apple a používa ho os x Odpovedať Známka: -2.0 Hodnotiť:

Re: nemchápem Od: nemo22 | Pridané: 13.5.2016 11:32 No si dost mimo lebo MS priamo s tym nic nema. Buffer owerflow sa nachadza prakticky vo vsetkych OS. To je ked uz tak chyba navrhu hw architektury, aj ked podobne chyby sa vyskytuju nie len na x86 ale aj ARMe a dalsich. Je to viac veci dohromady. Odpovedať Známka: 6.9 Hodnotiť:

Som tu sam co pouziva ARJ? Od: rolh | Pridané: 13.5.2016 11:02 Som tu sam co pouziva ARJ? Odpovedať Známka: 7.5 Hodnotiť:

Re: Som tu sam co pouziva ARJ? Od: Murkoslav | Pridané: 13.5.2016 11:27 Ja LHA Odpovedať Známka: 10.0 Hodnotiť:

Re: Som tu sam co pouziva ARJ? Od: Jamicon | Pridané: 13.5.2016 12:19 Osobne dávam prednosť lz4, je rýchly a skoro tak účinný ako lzo. Odpovedať Známka: 10.0 Hodnotiť:

Re: Som tu sam co pouziva ARJ? Od: party | Pridané: 13.5.2016 15:53 ace chlapci, ace Odpovedať Známka: 10.0 Hodnotiť:

Re: Som tu sam co pouziva ARJ? Od: .em | Pridané: 13.5.2016 12:24 ja chloroform... ten zbali uplne vsetko! :) Odpovedať Známka: 10.0 Hodnotiť:

Re: Som tu sam co pouziva ARJ? Od: TurboB | Pridané: 14.5.2016 23:16 'Chloroform is nothing to f*ck around with.' #UrbanDictionary Odpovedať Hodnotiť:

Re: Som tu sam co pouziva ARJ? Od: Majk0 | Pridané: 15.5.2016 2:09 Ďakujem, ja radšej chlorofyl Odpovedať Známka: 10.0 Hodnotiť:

Re: Som tu sam co pouziva ARJ? Od: mnamky | Pridané: 14.5.2016 7:41 Este lepsie je LSD. Odpovedať Známka: 10.0 Hodnotiť:

kompresia Od: mucha12 | Pridané: 13.5.2016 12:31 - na subory: nanozip ,prekonava 7zip - na fotky: bpg ,prekonava jpg - na audio: opus ,prekonava ogg aj wma Odpovedať Známka: -6.7 Hodnotiť:

Re: kompresia Od: Borat | Pridané: 13.5.2016 13:28 -na pivo: borovicku ,prekonava vodku -na zeny: vrece ,prekonava kvety -na peniaze: alobal ,prekonava krabice od vina Odpovedať Známka: 9.3 Hodnotiť:

Re: kompresia Od: ejhaa | Pridané: 13.5.2016 20:45 -na zivu vodu: krabica od topanok, prekonava plastovu flasu Odpovedať Hodnotiť:

preco je to tak Od: strazca pamete | Pridané: 13.5.2016 13:48 Preco neexistuje kompilator c, c++ s moznostou ochrany pamete? Napr. takto: pred kazdy kus alokovanej pamete by sa vlozila hlavicka (jedno cislo) ktora obsahuje velkost alokovaneho bloku. Nasledne kazdy pristup do pamete by sa realizoval zadanim adresy hlavicky a napr. relativnou adresou a volanim funkcie ktora overy ci sa nepristupuje mimo alokovany blok. Programy by boli sice o nieco vecsie a pomalsie ale pri aplikaciach kde je bezpecnost prijoritou by sa znacne znizilo riziko neosetreneho vstupu. Neda sa to? V com je problem? Odpovedať Známka: 6.7 Hodnotiť:

Re: preco je to tak Od: TakzeTak | Pridané: 13.5.2016 16:00 nebudem sa tváriť, že tomu čo si napísal rozumiem, ale opýtam sa ťa takto... nemal by si sa s týmto obrátiť priamo na tvorcov kompilátorov a navrhnúť im(prípadne ho aj zrealizovať) svoje riešenie tohto problému? Odpovedať Známka: 4.3 Hodnotiť:

Re: preco je to tak Od: strazca pamete | Pridané: 13.5.2016 18:54 takato ochrana, pokial viem, funguje vo vecsine jazykov ktore su interpretovane a pretecenie buffera vedie spravidla k padu aplikacie a nie k zmenenemu chovaniu pripadne spusteniu shellcodu. Myslienka je znama ale z nejakeho dovodu sa nepouziva u jazykov ako c a c++ ktore sa kompiluju do strojoveho kodu a bezia "priamo na cpu". Odpovedať Známka: 10.0 Hodnotiť:

Re: preco je to tak Od: jebe jebe jebe | Pridané: 13.5.2016 16:35 zaloz si startup na novy kompilator Odpovedať Známka: 8.3 Hodnotiť:

Pridať komentár