Siber araştırmacılar, çok sayıda program ve işletim sisteminde yer alan zlib sıkıştırma kütüphanesinin bir aracında ciddi bir güvenlik açığı keşfettiler. Belirli koşullar altında, kötü amaçlı kodun eklenmesine ve yürütülmesine izin verir. Şu anda güvenlik açığını giderecek bir güncelleme mevcut değil.
Duyurudan sonra devamını okuyun
Siber araştırmacı Ronald Edgerson, şu anda yalnızca biraz aktif olan Tam Açıklama e-posta listesindeki güvenlik açığı hakkında bilgi yayınladı. Çalışıyor TGZfname() des untgz araçları .tar.gz (veya genellikle kısaca .tgz) arşivlerinin sıkıştırılmasından sorumlu olan zlib'de arabellek taşması meydana gelebilir. Bunun nedeni, kullanıcı tarafından sağlanan verilerin uzunluk kontrolü yapılmadan kopyalanmasıdır. strcpy()-Boyutu 1024 bayt olan global statik ara belleğe çağrı yapar. Daha büyük bir arşiv adının iletilmesi, amaçlanan bellek sınırlarının dışında yazma erişimine neden olarak bellek ihlallerine neden olur. Güvenlik açığı artık CVE-2026-22184 (CVSS4) güvenlik açığı girişini aldı 9.3risk”eleştirmen“).
Untgz aracı, kullanıcı tarafından sağlanan ve hiçbir resmi destek almayan araçlardan biridir (projenin katkı klasöründedir). Ancak bunların teslim edilen zlib paketlerinin bir parçası olması gerekmez.
Güvenlik açığının etkisi
Edgerson, sonuçların bir çökmeyi (Hizmet Reddi (DoS), sonraki küresel nesnelerin bellek ihlallerini, tanımsız davranışı ve hatta enjekte edilen kodun yürütülmesini içerebileceğini açıklıyor. Bununla birlikte, kullanılan derleyiciye, sistemin işlemci mimarisine, kullanılan yapı bayraklarına ve bellek düzenine hâlâ bağımlılıklar var. Savunmasız kod, herhangi bir ayrıştırma veya arşiv kontrolünden önce yürütülüyor; bu, güvenlik açığının yalnızca hazırlanmış bir komut satırı parametresi ile çağrılarak önemsiz bir şekilde suistimal edilebileceği anlamına geliyor. Genel bellek etkilendiğinden, bellek hataların işlevin ötesine geçen sonuçları olabilir ve ardından program davranışını etkileyebilir.
CVE güvenlik açığı girişini oluşturup yayınlayan Vulncheck'in belirttiği gibi Zlib, mevcut 1.3.1.2 sürümüne kadar etkilenmektedir. Güncellenen yazılım henüz mevcut değil. Raporlama sırasında zlib Github projesinde kaynak kodundaki düzeltmeleri gösteren hiçbir şey yoktu. Ancak geçtiğimiz günlerde konuyla ilgili bir rapor sunuldu.
2022 sonbaharında zlib kütüphanesinde ciddi bir güvenlik açığı nedeniyle yakın zamanda farkedildi. Burada da saldırganlar, kötü amaçlı kod enjekte etmek ve yürütmek için güvenlikle ilgili kusurdan yararlanabildiler. Ancak o zamanlar güncellemeler zamanında mevcuttu.
Duyurudan sonra devamını okuyun
Güncelleme
10.17am
Saat
Untgz aracının, katkı klasöründeki kullanıcı tarafından sağlanan araçlara ait olduğu eklendi. Herhangi bir destek almayacaksınız ancak desteğin mutlaka zlib kitaplık paketleriyle birlikte gelmesi gerekmez.
(Bilmiyorum)
Bir yanıt yazın