最近在7-zip中修补的两个漏洞可能会遇到妥协许多软件产品和设备的风险,这些软件产品和设备捆绑了开源文件归档库。
来自思科的Talos Security团队的研究人员发现了缺陷,缺乏读取漏洞和堆溢出。他们在周二发布的7楼16.00中固定。
7-ZIP软件可以使用大量存档格式包装和解压缩文件,包括其自己的7z格式,比Zip更效率。它的多功能性和开源性质使其成为一个有吸引力的库,包括在其他需要处理和处理存档文件的其他软件项目中。
以前的研究表明,大多数开发人员在他们使用的第三方代码中跟踪漏洞的差别,并且他们很少更新他们项目中包含的库。
“所有主要平台都支持7-ZIP,是今天最受欢迎的档案公用事业之一,”思科·塔罗斯研究人员在博客帖子中表示。“可能会惊讶地发现有多少产品和电器受到影响。”
在Google上搜索显示,在许多软件项目中使用7-ZIP,包括安全设备和防病毒产品。许多自定义企业应用程序也可能使用它。
缺少界面读取漏洞,追踪为CVE-2016-2335,源于7-ZIP的通用磁盘格式(UDF)文件,而堆溢出条件CVE-2016-2334可以在处理时发生zlib压缩文件。
为了利用缺陷,攻击者可以在这些格式中制作特制文件,并以导致弱势7-ZIP代码处理它们的方式传递它们。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。