Sıkıştırma aracı 7-Zip, İnternet'teki saldırganların manipüle edilmiş arşivleri kullanarak kötü amaçlı kod enjekte etmesine ve yürütmesine olanak tanıyan bir güvenlik açığı içerir. Bir yazılım güncellemesi mevcut. 7-Zip kullanıcılarının harekete geçip kendilerinin indirip kurması gerekmektedir.
Reklamcılık
Trend Micro'nun Sıfır Gün Girişimi Güvenlik Bildirimi bu güvenlik açığını ele alıyor. Buna göre, Zstandard'da sıkıştırılmış bir dosyanın sıkıştırması açıldığında, kod belleğe yazılmadan önce bir tamsayı taşması meydana gelebilir. Kusur, kullanıcı tarafından gönderilen verilerin yetersiz doğrulanmasına dayanmaktadır ve gizlice içeri girip kötü amaçlı kod başlatmak için kötüye kullanılabilir (CVE-2024-11477, CVSS) 7.8“Risk”yüksek“).
İnternetten kod kaçakçılığı
Saldırganlar 7-Zip kullanıcılarını İnternetten dikkatlice hazırlanmış arşivleri (örneğin e-posta eki veya paylaşılan dosya biçiminde) açmaya ikna ederse, bu arşivlere kötü amaçlı yazılım yerleştirebilirler. Zstandard formatı özellikle Linux altında sıklıkla kullanılır; Btrfs, SquashFS veya OpenZFS için bir seçenek olarak mevcuttur. Deflate'e benzer bir sıkıştırma sağlamalıdır (örn. zlib veya HTTP sıkıştırma yoluyla), ancak özellikle sıkıştırmayı açma söz konusu olduğunda daha hızlı olmalıdır.
ZDI BT araştırmacıları bu güvenlik açığını Haziran ayında keşfettiler ve 7-Zip'e bildirdiler. 24.07 sürümüyle geliştiriciler güvenlik sızıntısını kapattı. Sürüm 24.08 şu anda 7-Zip web sitesinden indirilebilir.
7-Zip'in entegre bir güncelleme mekanizması bulunmadığından, yazılımı kullananların kendilerinin harekete geçmesi ve yeni sürümü indirip kurması gerekiyor. 7-Zip yazılımının herhangi bir özel özelliğine ihtiyacınız yoksa onu da kaldırabilirsiniz. Windows dosya gezgini artık 7-Zip dosyalarını kutudan çıkarabildiği gibi oluşturup açabiliyor.
(DMK)
Bir yanıt yazın