Автор известного архиватора 7-Zip Игорь Павлов анонсировал выпуск новой его версии v16. Мы настоятельно рекомендуем всем пользователям обновиться до этой версии, поскольку в ней исправлено несколько серьезных уязвимостей, обнаруженных ранее группой исследователей Cisco Talos. Уязвимости позволяют злоумышленникам удаленно исполнить код в системе пользователя путем отправки тому специальным образом сформированного файла, который предназначен для открытия 7-Zip. После открытия такого файла в системе пользователя будет исполнен вредоносный код.



Обе уязвимости относятся к неправильной работе кода 7-Zip с памятью, одна из них с идентификатором CVE-2016-2335 относится к типу out-of-bound read (чтение за пределами буфера) при работе с файлами типа Universal Disk Format (UDF), а другая CVE-2016-2334 к buffer-overflow (порча памяти за границей буфера) при работе с файлами формата HFS+.

Скачать актуальную версию 7-Zip можно по этой ссылке.
Поделиться с друзьями
-->

Комментарии (21)


  1. lostpassword
    16.05.2016 16:50
    +1

    А версия 9.20 подвержена этой уязвимости?
    Что-то не смог с ходу найти информацию…


    1. lostpassword
      16.05.2016 16:54

      Вот тут и здесь в качестве «Tested versions» указаны 7-Zip [32] 15.05 beta и 7-Zip [64] 9.20, но в обеих ли присутствует уязвимость — непонятно…


      1. ValdikSS
        16.05.2016 16:59
        +1

        Users are urged to update their vulnerable versions of 7-Zip to the latest revision, version 16.00, as soon as possible.


        1. lostpassword
          16.05.2016 17:07

          Это да, но на сайте 7-Zip на странице "Downloads" прямо явно видны две ветки: с последней версией 16.00 и с последней версией 9.20.

          Вот скриншот:


      1. zedxxx
        17.05.2016 14:10
        +1

        Да, и если предположить, что у этих версий уязвимость есть, то есть ли она и у 7-Zip [32] 9.20?


      1. Jemdo
        17.05.2016 14:10
        +1

        В комментах у талос и у ласт релиза на сф есть непроверенное никем заявление пользователя, проверившего исходники. Он заявляет что уязвимость с удаленным исполнением кода есть в 9.20 и может быть в том числе в ранних версиях начиная с версии где включили поддержку UDF и HFS+


  1. NeoCode
    16.05.2016 19:32

    Возник вопрос, тоже с безопасностью, но точки зрения анонимности.
    Потенциально, архиваторы могут сохранять в архивах некоторую информацию о компьютере, на котором создавался архив (в том числе и неявно, например в каком-то зашифрованном и «размазанном» по всему архиву виде). Различные id железа, mac и ip адрес, идентификатор пользователя в ОС (в том числе и привязка к облачным сервисам ОС) и т.д.

    На первый взгляд, проверить это можно достаточно просто: сделать архив из одинакового набора файлов на разных компьютерах и сравнить побайтово. Но теоретически активация такой скрытой записи id может осуществляться не всегда, а по каким-то признакам — специальные имена и расширения файлов и т.п.

    Интересно, проводятся ли подобные исследования и проверки безопасности архиваторов?


    1. popov654
      16.05.2016 20:16

      Зачем это делать? И каким образом такие данные потом считывать (и кто будет их считывать, явно не автор архиватора же).
      Или это намёк на то, что такая информация может быть полезна разного рода спецслужбам — типа перехватили некий архив, хотим узнать, кто его создал?


      1. NeoCode
        16.05.2016 20:29
        +1

        Именно, закладка для спецслужб.


        1. popov654
          16.05.2016 20:53

          Ну как мне кажется, если спецслужбы найдут на неком файл-хостинге какой-то архив — они и без всяких закладок потребуют у хостинга IP залившего файл. Я даже не удивлюсь, если такие данные сайты законодательно обязаны хранить а течение какой-то срока.

          Разве что — если файл через Tor был загружен…


          1. NeoCode
            16.05.2016 21:00

            Да, я имею в виду загрузку через Tor.
            Вот сейчас сделал два архива из одного и того же набора файлов, на одном и том же компьютере, с одним и тем же паролем (через 7z) — в итоге только размер одинаковый, а двоично вообще разные. Откуда вывод — при шифровании используется не только пароль, но и случайные числа. Или не только случайные, но и вполне конкретные — например время создания и уникальный идентификатор машины.
            У 7z исходники открыты, можно конечно посмотреть. И стало даже интересно посмотреть другие архиваторы.


            1. SyavaSyava
              16.05.2016 23:06
              +1

              > сейчас сделал два архива из одного и того же набора файлов <...> с одним и тем же паролем — в итоге только размер одинаковый, а двоично вообще разные
              Как бы это абсолютно нормально, ибо
              > при шифровании используется не только пароль, но и случайные числа.
              Касательно
              > У 7z исходники открыты, можно конечно посмотреть
              то и посмотрите, прежде чем обвинять автора в чём-то подобном исходя только из ваших фантазий.


            1. alxrt
              16.05.2016 23:14
              +1

              Дело в том, что 7-zip при шифровании архива использует не непосредственно пароль, а некий производный от пароля ключ зашифрованный «солью», которая каждый раз генерируется заново, следовательно каждый архив, даже защищенный одним и тем же паролем будет отличаться от всех остальных.
              Это необходимо для того, чтобы было невозможно перебрать за разумное время пароли по словарю или радужным таблицам.
              Вот файл, в котором определены алгоритмы шифрования для архива 7z: 7-zip/CPP/7zip/Crypto/7zAes.cpp


            1. saboteur_kiev
              17.05.2016 14:13

              Edited Не успел.


          1. SamsonovAnton
            17.05.2016 09:55

            Правильное симметричное шифрование обязательно использует синхропосылку (initialization vector) в сочетании с одним из режимов обратной связи (mode of operation) именно для того, чтобы одинаковая входная информация давала каждый раз совершенно иной результат.


    1. ValdikSS
      16.05.2016 21:10
      +2

      Многие постоянно забывают, что tar сохраняет имя пользователя и группы у файлов, не числовой идентификатор, а именно строку. Ну и еще в GZIP-ответе некоторых серверов есть timestamp, по которому можно установить таймзону сервера, но это очень редко.


      1. saboteur_kiev
        17.05.2016 14:09

        Век живи, век учись!



    1. Yuri_M
      17.05.2016 14:10

      7-zip же open-source, никто не мешает посмотреть, что и как он делает…


  1. ivlis
    16.05.2016 21:57

    А какое имеет отношение архиватор к UDF и HFS+, если это файловые системы? LZMA тоже в опасности, ведь алгоритм вроде тот же самый?


    1. iDm1
      17.05.2016 14:10
      +1

      7zip поддерживает довольно большое количество архивов, образов дисков и разделов, UDF и HFS+ в их числе.