Автор известного архиватора 7-Zip Игорь Павлов анонсировал выпуск новой его версии v16. Мы настоятельно рекомендуем всем пользователям обновиться до этой версии, поскольку в ней исправлено несколько серьезных уязвимостей, обнаруженных ранее группой исследователей Cisco Talos. Уязвимости позволяют злоумышленникам удаленно исполнить код в системе пользователя путем отправки тому специальным образом сформированного файла, который предназначен для открытия 7-Zip. После открытия такого файла в системе пользователя будет исполнен вредоносный код.
Обе уязвимости относятся к неправильной работе кода 7-Zip с памятью, одна из них с идентификатором CVE-2016-2335 относится к типу out-of-bound read (чтение за пределами буфера) при работе с файлами типа Universal Disk Format (UDF), а другая CVE-2016-2334 к buffer-overflow (порча памяти за границей буфера) при работе с файлами формата HFS+.
Скачать актуальную версию 7-Zip можно по этой ссылке.
Обе уязвимости относятся к неправильной работе кода 7-Zip с памятью, одна из них с идентификатором CVE-2016-2335 относится к типу out-of-bound read (чтение за пределами буфера) при работе с файлами типа Universal Disk Format (UDF), а другая CVE-2016-2334 к buffer-overflow (порча памяти за границей буфера) при работе с файлами формата HFS+.
Скачать актуальную версию 7-Zip можно по этой ссылке.
Поделиться с друзьями
lostpassword
А версия 9.20 подвержена этой уязвимости?
Что-то не смог с ходу найти информацию…
lostpassword
Вот тут и здесь в качестве «Tested versions» указаны 7-Zip [32] 15.05 beta и 7-Zip [64] 9.20, но в обеих ли присутствует уязвимость — непонятно…
ValdikSS
lostpassword
Это да, но на сайте 7-Zip на странице "Downloads" прямо явно видны две ветки: с последней версией 16.00 и с последней версией 9.20.
zedxxx
Да, и если предположить, что у этих версий уязвимость есть, то есть ли она и у 7-Zip [32] 9.20?
Jemdo
В комментах у талос и у ласт релиза на сф есть непроверенное никем заявление пользователя, проверившего исходники. Он заявляет что уязвимость с удаленным исполнением кода есть в 9.20 и может быть в том числе в ранних версиях начиная с версии где включили поддержку UDF и HFS+
NeoCode
Возник вопрос, тоже с безопасностью, но точки зрения анонимности.
Потенциально, архиваторы могут сохранять в архивах некоторую информацию о компьютере, на котором создавался архив (в том числе и неявно, например в каком-то зашифрованном и «размазанном» по всему архиву виде). Различные id железа, mac и ip адрес, идентификатор пользователя в ОС (в том числе и привязка к облачным сервисам ОС) и т.д.
На первый взгляд, проверить это можно достаточно просто: сделать архив из одинакового набора файлов на разных компьютерах и сравнить побайтово. Но теоретически активация такой скрытой записи id может осуществляться не всегда, а по каким-то признакам — специальные имена и расширения файлов и т.п.
Интересно, проводятся ли подобные исследования и проверки безопасности архиваторов?
popov654
Зачем это делать? И каким образом такие данные потом считывать (и кто будет их считывать, явно не автор архиватора же).
Или это намёк на то, что такая информация может быть полезна разного рода спецслужбам — типа перехватили некий архив, хотим узнать, кто его создал?
NeoCode
Именно, закладка для спецслужб.
popov654
Ну как мне кажется, если спецслужбы найдут на неком файл-хостинге какой-то архив — они и без всяких закладок потребуют у хостинга IP залившего файл. Я даже не удивлюсь, если такие данные сайты законодательно обязаны хранить а течение какой-то срока.
Разве что — если файл через Tor был загружен…
NeoCode
Да, я имею в виду загрузку через Tor.
Вот сейчас сделал два архива из одного и того же набора файлов, на одном и том же компьютере, с одним и тем же паролем (через 7z) — в итоге только размер одинаковый, а двоично вообще разные. Откуда вывод — при шифровании используется не только пароль, но и случайные числа. Или не только случайные, но и вполне конкретные — например время создания и уникальный идентификатор машины.
У 7z исходники открыты, можно конечно посмотреть. И стало даже интересно посмотреть другие архиваторы.
SyavaSyava
> сейчас сделал два архива из одного и того же набора файлов <...> с одним и тем же паролем — в итоге только размер одинаковый, а двоично вообще разные
Как бы это абсолютно нормально, ибо
> при шифровании используется не только пароль, но и случайные числа.
Касательно
> У 7z исходники открыты, можно конечно посмотреть
то и посмотрите, прежде чем обвинять автора в чём-то подобном исходя только из ваших фантазий.
alxrt
Дело в том, что 7-zip при шифровании архива использует не непосредственно пароль, а некий производный от пароля ключ зашифрованный «солью», которая каждый раз генерируется заново, следовательно каждый архив, даже защищенный одним и тем же паролем будет отличаться от всех остальных.
Это необходимо для того, чтобы было невозможно перебрать за разумное время пароли по словарю или радужным таблицам.
Вот файл, в котором определены алгоритмы шифрования для архива 7z: 7-zip/CPP/7zip/Crypto/7zAes.cpp
saboteur_kiev
EditedНе успел.SamsonovAnton
Правильное симметричное шифрование обязательно использует синхропосылку (initialization vector) в сочетании с одним из режимов обратной связи (mode of operation) именно для того, чтобы одинаковая входная информация давала каждый раз совершенно иной результат.
ValdikSS
Многие постоянно забывают, что tar сохраняет имя пользователя и группы у файлов, не числовой идентификатор, а именно строку. Ну и еще в GZIP-ответе некоторых серверов есть timestamp, по которому можно установить таймзону сервера, но это очень редко.
saboteur_kiev
Век живи, век учись!
Iqorek
sourceforge.net/projects/sevenzip/files
Yuri_M
7-zip же open-source, никто не мешает посмотреть, что и как он делает…
ivlis
А какое имеет отношение архиватор к UDF и HFS+, если это файловые системы? LZMA тоже в опасности, ведь алгоритм вроде тот же самый?
iDm1
7zip поддерживает довольно большое количество архивов, образов дисков и разделов, UDF и HFS+ в их числе.