Er is een nieuwe testversie van het opensource-archiveringsprogramma 7-Zip verschenen waarin een ernstig beveiligingslek is gedicht, maar dit wordt niet in de release notes vermeld. Via de kwetsbaarheid kan een aanvaller in het ergste geval de computer overnemen als er een kwaadaardig RAR- of ZIP-bestand wordt geopend. 7-ZIP laat gebruikers allerlei bestanden in- en uitpakken.
Een informaticastudent genaamd Dave ontdekte een manier om via een kwaadaardig RAR- of ZIP-bestand een heap en stack buffer overflow te veroorzaken. Daardoor kan een aanvaller willekeurige code op het systeem uitvoeren. Het probleem wordt vergroot doordat de ontwikkelaar van 7-Zip bepaalde beveiligingsmaatregelen om de impact van een kwetsbaarheid tegen te gaan niet heeft genomen en ook niet van plan is om te nemen.
De ontwikkelaar werd op 6 januari over de kwetsbaarheid (CVE-2018-5996) ingelicht en rolde vier dagen later op 10 januari een update uit. De beveiligingsupdate is echter in een testversie van 7-ZIP verwerkt (18.00 beta). De standaardversie die op de website van 7-Zip wordt aangeboden dateert van 4 oktober 2016. Daarnaast wordt er in de release notes van 7-Zip 18.00 beta nergens melding van het beveiligingslek gemaakt, behalve dat er "een aantal bugs" zijn verholpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.