7-Zip verhelpt stilletjes buffer overflow-kwetsbaarheid in archiveringssoftware
De ontwikkelaar van de populaire archiveringssoftware 7-Zip heeft begin dit jaar stilletjes een buffer overflow-kwetsbaarheid en ander beveiligingslek in het programma gedicht, zonder dit te melden in de releasenotes of op andere manier aan gebruikers te laten weten. Dat meldt beveiligingsonderzoeker Maxim Suhanov die de twee kwetsbaarheden ontdekte en vorig jaar al aan de 7-Zip-ontwikkelaar rapporteerde. Details heeft hij nu openbaar gemaakt.
De eerste kwetsbaarheid (CVE-2023-52168) betreft een buffer overflow in de 'NTFS handler' van 7-Zip. Volgens Shanov kan een aanvaller hierdoor code uitvoeren, maar is dit beveiligingslek zeer lastig te misbruiken. In dit geval zou een aanvaller het doelwit een malafide archiefbestand moeten laten openen. De tweede kwetsbaarheid is ook in de NFTS handler aanwezig en maakt een out-of-bounds read mogelijk. Dit zou vooral een probleem zijn voor webservices waarbij gebruikers bestanden kunnen uploaden die op de server via 7-Zip worden verwerkt.
Beide kwetsbaarheden werden vorig jaar augustus aan 7-Zip-ontwikkelaar Igor Pavlov gerapporteerd. Die kwam op 31 januari van dit jaar met versie '24.01 beta', waarin de problemen zijn opgelost. "Beide kwetsbaarheden zijn stilletjes verholpen", aldus Suhanov. "Er is geen advisory (of een gerelateerde vermelding in de change log) uitgegeven." Beide beveiligingslekken worden inderdaad niet in de change log of op een andere plek op de 7-Zip-website genoemd.
Een slechte reputatie kan het gevolg zijn, want straks zegt men: "waar is nog meer over gezwegen?"
waardoor je ook niet op de hoogte wordt gesteld van een nieuwe versie,
en als het ook al niet wordt gemeld dat er dus kwetsbaarheden zijn opgelost,
blijft men altijd met oude kwetsbare versie draaien..
Een slechte reputatie kan het gevolg zijn, want straks zegt men: "waar is nog meer over gezwegen?"
waardoor je ook niet op de hoogte wordt gesteld van een nieuwe versie,
en als het ook al niet wordt gemeld dat er dus kwetsbaarheden zijn opgelost,
blijft men altijd met oude kwetsbare versie draaien..
https://www.7-zip.org/history.txt
Niet alles heeft auto-update functies en als je daar van weet dan is het je eigen taak om er bovenop te blijven door pagina te lezen door feed aan te maken of andere oplossingen te verzinnen. Zoals het altijd al hoe dan ook hoort. Je gebruikt iets dan heb je ook verantwoordelijkheid over veilig houden van jouw eigen geinstaleerde omgeving. Waar auto update beschikbaar is mooi maar dat is een luxe niet een verplichting.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
