O vulnerabilitate în 7-Zip permite executarea de cod arbitrar

O vulnerabilitate importantă de securitate a fost identificată în 7-Zip, popularul utilitar de comprimare a fișierelor, permițând atacatorilor de la distanță să execute coduri malițioase prin arhive malițioase.

Identificată ca CVE-2024-11477, vulnerabilitatea a primit un scor CvSS de 7.8/10 și un grad de severitate high, indicând riscuri de securitate semnificative pentru utilizatorii versiunilor afectate.

Vulnerabilitatea afectează în special implementarea decompresiei Zstandard, în care validarea necorespunzătoare a datelor furnizate de utilizator poate duce la o eroare de tip integer underflow before writing to memory.

Această vulnerabilitate permite atacatorilor să execute cod arbitrar în contextul procesului curent atunci când utilizatorii interacționează cu arhive rău intenționate.

Persoanele rău intenționate pot exploata vulnerabilitatea prin convingerea utilizatorilor să acceseze arhive malițioase, ce ar putea fi distribuite prin atașamente de e-mail sau fișiere partajate.

Formatul Zstandard, deosebit de răspândit în mediile Linux, este utilizat în mod obișnuit în diverse sisteme de fișiere, inclusiv Btrfs, SquashFS și OpenZFS.

7-Zip a remediat această vulnerabilitate de securitate în versiunea 24.07. Deoarece software-ul nu dispune de un mecanism integrat de actualizare, utilizatorii trebuie să descarce și să instaleze manual cea mai recentă versiune pentru a-și proteja sistemele.

Sursă: https://cybersecuritynews.com/7-zip-vulnerability-arbitrary-code/