Главная страница » Уязвимости
0
20 часов
Уязвимости

Критические уязвимости в 7-Zip: удаленное выполнение кода и утечка данных при открытии архивов

7-Zip

Популярный архиватор 7-Zip, используемый миллионами людей по всему миру, оказался в центре громкого скандала в сфере информационной безопасности. Исследователи из GitHub Security Lab обнаружили целый букет опасных дефектов в версии 26.00 и более ранних сборках. Самый серьезный из них позволяет злоумышленнику удаленно выполнить произвольный код на компьютере жертвы, стоит лишь открыть вредоносный архив. Помимо этого, выявлено еще несколько уязвимостей, которые приводят к утечке чувствительных

Содержание
  1. Главная угроза: переполнение кучи в обработчике NTFS
  2. Дополнительные дефекты: утечки памяти и чтение за границами
  3. Кого касается проблема?
  4. Что делать?
  5. Ссылки

Главная угроза: переполнение кучи в обработчике NTFS

Наиболее опасная проблема скрывается в коде, отвечающем за работу с образами NTFS. Уязвимость (CVE-2026-48095) получила оценку 8,8 балла по шкале CVSS, что соответствует высокому уровню опасности. Она возникает из-за ошибки при вычислении размера буфера для сжатых данных. Разработчик использовал 32-битный сдвиг, который при определенных условиях приводит к неопределенному поведению. В результате вместо буфера нужного размера выделяется всего один байт, после чего в него записывается до 256 мегабайт данных, управляемых атакующим. Это переполнение повреждает соседние объекты в куче, в том числе указатель на таблицу виртуальных функций. После этого злоумышленник может перехватить управление, заставив 7-Zip выполнить свой код.

Важно отметить, что опасность не ограничивается файлами с расширением .ntfs или .img. 7-Zip автоматически определяет формат по сигнатуре, поэтому вредоносный образ NTFS может быть замаскирован под обычный ZIP-архив или даже не иметь расширения вовсе. Как только пользователь откроет такой файл в архиваторе, срабатывает уязвимый обработчик, и атака проходит без дальнейших действий.

Дополнительные дефекты: утечки памяти и чтение за границами

Помимо критической уязвимости, исследователи описали еще несколько проблем, охватывающих форматы SquashFS, UEFI, UDF, WIM и другие. Все они связаны с неправильной работой с памятью и могут быть использованы как часть более сложной цепочки атак.

Например, в обработчике SquashFS найдена ошибка целочисленного переполнения. Она позволяет обойти проверку границ фрагмента и прочитать данные из кучи до выделенного буфера. В результате извлеченный файл может содержать фрагменты чужой памяти, потенциально включая пароли или другую конфиденциальную информацию. Правда, эта уязвимость проявляется только в 32-битных сборках 7-Zip, которые всё еще официально распространяются.

Еще один инцидент касается обработчика UEFI-капсул (файлы .scap). При открытии усеченного образа программа не проверяет, сколько данных действительно прочитано из файла, и записывает в результат неинициализированную память. Объем утечки может достигать одного гигабайта, что делает эту проблему особенно опасной для долго работающих сессий 7-Zip (например, в графическом интерфейсе), где в куче могут остаться следы предыдущих архивов.

Другие ошибки (в UDF, WIM, Ar-архивах) приводят к чтению за границами динамической памяти. Хотя они не дают злоумышленнику прямого контроля над исполнением кода, они могут привести к падению программы или, в редких случаях, к раскрытию служебных данных.

Кого касается проблема?

7-Zip - один из самых распространенных архиваторов, особенно в среде Windows. Он используется как обычными пользователями, так и в корпоративной среде. Это означает, что уязвимости затрагивают миллионы конечных точек. Злоумышленники могут использовать их в фишинговых кампаниях, доставляя вредоносный архив в виде вложения в письме или через мессенджеры. Простое открытие такого файла может привести к компрометации системы.

Более того, некоторые уязвимости позволяют извлечь данные из памяти прямо в содержимое распакованных файлов. Это значит, что специалисты по безопасности должны обращать внимание на необычные или поврежденные выходные данные - они могут быть индикаторами атаки.

Что делать?

Разработчик 7-Zip выпустил версию 26.01, в которой исправлены все перечисленные проблемы. Пользователям и администраторам настоятельно рекомендуется как можно скорее обновиться, скачав новую сборку с официального сайта 7-zip.org или из доверенных источников распространения.

Если немедленное обновление невозможно, стоит временно ограничить использование 7-Zip на критически важных системах, особенно при работе с файлами неизвестного происхождения. Специалистам по безопасности нужно обновить инструменты управления уязвимостями, чтобы отслеживать устаревшие версии архиватора, и настроить мониторинг подозрительной активности, связанной с архивами.

В целом эта история напоминает: даже такие надежные и проверенные временем инструменты, как 7-Zip, могут содержать скрытые дефекты, способные привести к серьезным последствиям. Своевременное обновление - лучшая защита.

Ссылки

Комментарии: 0
Похожие записи
0
04.07.2024
Индикаторы компрометации

SameCoin Campaign Malware IOCs

security
Информационная компания IntezerLab сообщила о кампании атак, названной "SameCoin", исследователи которой проанализировали образцы обнаруженного вредоносного ПО. Оказалось, что вектор заражения - это электронное