Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Уязвимость библиотеки в составе Windows, macOS, Debian и FreeBSD приводила к ошибке при обработке многотомных архивов.
В библиотеке Libarchive, входящей в состав многих ОС и утилит, обнаружена серьезная уязвимость. Баг позволяет злоумышленнику выполнить код на целевом компьютере, если жертва откроет вредоносный архив. Проблема выявлена только в Linux-версии программы и не затрагивает пользователей Windows и macOS.
Библиотека Libarchive предназначена для работы с архивами и поддерживает различные форматы упаковки файлов. Найденная уязвимость связана с некорректным использованием памяти после освобождения при исполнении функции, отвечающей за чтение RAR-объектов. Как выяснили ИБ-специалисты, если одна из частей архива повреждена, то обработка следующего тома приведет к состоянию use-after-free и позволит запустить на машине сторонний скрипт.
Недостаток нашли ИБ-специалисты Google. Уязвимость, зарегистрированная как CVE-2019-18408, исправлена в Libarchive 3.4.0, вышедшей в июне этого года. Аналитики не раскрывали информацию о баге, чтобы дать разработчикам сторонних программ, использующих библиотеку, возможность защититься.
Уязвимая библиотека применяется для работы с архивами в операционных системах на базе FreeBSD, а также macOS, Windows и Debian. Помимо этого, Libarchive входит в состав многих специализированных утилит, среди которых пакетный менеджеры Pacman, NetBSD и CMake. Создатели FreeBSD и Debian уже подготовили обновления для своих ОС, однако авторы других программных продуктов пока не сообщали о выпуске патчей.
В Windows 10 Libarchive используется инструментами командной строки с 2017 года, а в macOS библиотеку добавили в 2009-м. Ее компоненты применяются для обработки cpio-архивов, а также распаковки файлов TAR. Как выяснили ИБ-специалисты, варианты архиватора для этих операционных систем не содержат CVE-2019-18408.
В январе 2017 года Apple пришлось выпускать обновление macOS и iOS, чтобы устранить уязвимость переполнения буфера в Libarchive. Баг, зарегистрированный как CVE-2016-8687, позволял атакующему выполнить произвольный код в рамках операционной системы через вредоносный архив.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |