Af Eskil Sørensen, 25/11/24
Der er fundet en alvorlig sårbarhed i 7-Zip. Sårbarheden gør det muligt for fjernangribere at afvikle ondsindet kode gennem specialfremstillede, pakkede arkiver.
Det skriver Cyber Security News og Kruse Industries.
Sårbarheden har id’et CVE-2024-11477 og en CVSS-score på 7,8.
Fejlen findes specifikt inden for Zstandard-dekompressionsimplementeringen, hvor forkert validering af brugerleverede data kan resultere i et såkaldt heltalsunderløb før skrivning til hukommelsen.
Det kan medføre afvikling af vilkårlig kode på berørte systemer, opnåelse af samme adgangsrettigheder som loggede brugere og mulighed for komplet kompromittering af et system.
7-Zip har rettet fejlen i version 24.07. Men da 7-Zip ikke har en integreret opdateringsmekanisme, skal man som bruger manuelt downloade og installere den seneste version for at beskytte sit system. Anbefalingen er, at it-administratorer og softwareudviklere, der implementerer 7-Zip i deres produkter, straks opdaterer deres installationer til den patchede version.
Sårbarheden blev oprindeligt rapporteret til 7-Zip i juni 2024. En koordineret offentliggørelse fandt sted den 20. november 2024. Cyber Security News skriver, at sårbarheden kræver minimal teknisk ekspertise at udnytte, selvom der i øjeblikket ikke er nogen kendt malware. Af den grund understreger sikkerhedseksperter vigtigheden af hurtig patchning.
Zstandard-formatet er især udbredt i Linux-miljøer, fremgår det af Cyber Security News’ omtale. Det bruges almindeligvis i forskellige filsystemer, herunder Btrfs, SquashFS og OpenZFS.
Links:
https://cybersecuritynews.com/7-zip-vulnerability-arbitrary-code/