image

Google ontdekt kritieke kwetsbaarheid in UnZip

dinsdag 23 december 2014, 11:15 door Redactie, 0 reacties

Een onderzoeker van het Google Security Team heeft een kritieke kwetsbaarheid in UnZip ontdekt, een opensourcetool om bestanden mee uit te pakken. Door een fout in de cyclic redundancy check (CRC) is het mogelijk een buffer overflow te veroorzaken waardoor een aanvaller willekeurige code op de computer kan uitvoeren. CRC is juist een controle voor het detecteren van fouten.

Om de aanval uit te voeren moet een aanvaller het slachtoffer wel een speciaal geprepareerd zip-bestand via het commando unzip -t laten openen. Google houdt zich naast het zoeken naar lekken in de eigen software ook bezig met het controleren van opensourcesoftware. Het lek werd op 3 december door onderzoeker Michele Spagnuolo gerapporteerd.

Op dezelfde dag verscheen er van de UnZip-beheerder een update, gevolgd door een tweede update later die dag. Een week later werden alle getroffen leveranciers gewaarschuwd die UnZip gebruiken, waarna gisteren de advisory online verscheen. Het lek is aanwezig in UnZip 6.0 en ouder. De laatste update van het programma dateert van april 2009.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.