image

Ernstige beveiligingslekken in 7-Zip gepatcht

donderdag 12 mei 2016, 11:39 door Redactie, 3 reacties

De ontwikkelaar van het opensource-archiveringsprogramma 7-Zip heeft een nieuwe versie uitgebracht wegens twee ernstige lekken waardoor een aanvaller in het ergste geval kwetsbare computers kan overnemen. Via 7-Zip is het mogelijk om allerlei archiefformaten te openen en bestanden in te pakken.

Onderzoekers van Cisco ontdekten twee kwetsbaarheden waardoor een aanvaller, als een gebruiker een kwaadaardig UDF-bestand opent of een kwaadaardige HFS+-image uitpakt, willekeurige code op de computer kan uitvoeren. Het probleem werd veroorzaakt doordat 7-Zip de invoer niet goed controleerde. 7-Zip is niet alleen populair als archiveringsprogramma, maar wordt daarnaast ook door allerlei andere programma's gebruikt. Cisco waarschuwde 7-Zip-ontwikkelaar Igor Pavlov, die nu een nieuwe versie heeft uitgebracht. Gebruikers krijgen van Cisco dan ook het advies om zo snel als mogelijk naar 7-Zip versie 16.00 te updaten.

Reacties (3)
12-05-2016, 12:16 door Fwiffo
Ben even in de changelogs gaan zoeken, en misschien zijn de twee kwetsbaarheden geïntroduceerd in versie 9.30 alpha:
What's new after 7-Zip 9.30 alpha:
<snip>
- ZIP, NSIS, HFS, AR support was improved.
- 7-Zip now supports files larger than 4 GiB in ISO archives
<snip>
bron: http://tweakers.net/downloads/31811/7-zip-931-alpha.html
12-05-2016, 21:43 door karma4
ik lees bij de cisco talos link dat het omde:

1/ udf afhandeling gaat (gebruik in alle OS types) https://nl.wikipedia.org/wiki/Universal_Disk_Format
De fout zou zitten in "Central to 7-Zip’s processing of UDF files is the CInArchive::ReadFileItem method. Because volumes can have more than one partition map, their objects are kept in an object vector. " met een bufferoverflow tot gevolg.
Kenmerk: Een klassiek programmeer issue, het zal er altijd al in gezeten hebben.
Voordeel: het gaat om rrn zeer specifieke file-system niet degene die je meest gebruikt. Risico/Impact kan meevallen.

2/ de hfs+ afhandeling gaat (gebruik in alle OSX = Apple) https://nl.wikipedia.org/wiki/Universal_Disk_Format
De fout zou zitten in "An exploitable heap overflow vulnerability exists in the Archive::NHfs::CHandler::ExtractZlibFile method functionality.." er wordt niet gecontroleerd of de bestemming/statische buffer groot genoeg is (64x 0x10000).
Kenmerk: Een klassiek programmeer issue, het zal er altijd al in gezeten hebben.
Voordeel: Geen privilege escalatie of wat dan ook. Een heap buffer overflow uitnutten is vrij lastig. Zodra bekend eenvoudig aan te herstellen.

De conclusie: "Both of these 7-Zip vulnerabilities resulted from flawed input validation. Because data can come from a potentially untrusted source, data input validation is of critical importance to all applications’ security. "
Is er een van code review, niet op geconstateerde hacks.
13-05-2016, 00:20 door Anoniem
7-Zip wordt ongesigneerd aangeboden. Niet op de installatieexecutable en niet als GPG sign bestand.

Dat kan beter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.