|
E安全6月23日讯 Libarchive是一个开源压缩工具包,近日它被安全研究人员发现存在一组安全漏洞,众多项目受影响,比如Debian Linux、FreeBSD和各种文件压缩实用程序。 Libarchive于2004年专为FreeBSD项目创建,它强大的功能很快就引起了其他开发人员的注意,这些开发人员将它引入其它操作系统并纳入自己的软件。 开发人员钟爱Libarchive允许实时访问大量压缩文件格式的功能,比如tar、7z、zip、cpio、pax、rar、 cab以及更多。 利用漏洞就是小事一桩 前日发布的博文中,思科塔洛斯(Cisco Talos)团队宣布与Libarchive团队合作对库内一系列安全问题做打补丁处理。这些问题与每天在软件产品中被修复的各种安全漏洞不同,原因在于Libarchive被广泛应用,导致这些漏洞直接波及无数其它项目。 如果知道漏洞的位置,利用这些漏洞就是小菜一碟,因为它只要求攻击者破解恶意ZIP文件。当Libarchive或包含Libarchive的软件读取恶意存档,攻击者可以在用户系统上执行恶意代码。 许多软件产品存在风险 试想杀毒或包管理器的代码中包含Libarchive,而你正在使用这类杀毒或软件包管理器处理实时读取存档文件。因为所有杀毒产品会解压存档文件查看恶意 软件,并且因为包管理器负责在你的PC上下载、解压和安装软件,攻击者的工作仅限于破解恶意存档并想办法传送至你的PC. 思科研究人员表示,在查看Libarchive如何处理7-Zip文件(CVE-2016-4300)时发现整数溢出问题,查看Libarchive如何处理Mtree文件时(CVE-2016-4301)发现缓冲区溢出问题,以及查看Libarchive如何处理RAR文件(CVE-2016-4302)时,发现堆溢出问题。正如你所见,所有这些问题均是威胁性安全漏洞,会导致远程代码在用户设备上加以执行。 思科团队解释道,“编写安全代码可能有难度。这些libarchive漏洞存在的根本原因是无法正确验证输入—压缩文件读取数据。可悲的是,这种类型的程序设计错误反复发生。” 思科称,所有问题现已修复,但正如大家所想,开发人员更新所有的应用程序(部署了最新版的Libarchive(v3.2.1))需要一些时间。 五月初,思科塔洛斯团队还帮助7-Zip项目修复软件中存在的一组严重漏洞。7-Zip与Libarchive类似,也被许多其它软件产品广泛使用。 E安全/文 转载请注明E安全 E安全——全球网络安全新传媒 |
|
|
