7zip ievainojamība paver iespējas patvaļīgai koda izpildei

7zip - bezmaksas failu arhivēšanas un saspiešanas rīks, ko plaši izmanto visā pasaulē, ir atrasta augsta riska ievainojamība. Tā ir ievainojamība, kas ļauj izpildīt patvaļīgu kodu, lai iegūtu augsta līmeņa privilēģijas.

Nopietna 7zip ievainojamība

Šī 7zip ievainojamība ļautu uzbrucējiem instalēt programmas, apskatīt, mainīt un izdzēst datus sistēmā vai izveidot jaunus lietotāju kontus ar maksimālo privilēģiju līmeni, kas viņiem nodrošinātu pilnīgu piekļuvi sistēmai. Šī izmantošana ir kristīta CVE-2018-10115, par laimi lietojumprogrammas veidotājs jau ir izlaidis jaunu versiju, kurā nav problēmu.

Mēs iesakām izlasīt mūsu ziņojumu par Intel procesoriem ir atklātas astoņas jaunas ievainojamības

7-Zip ir atklāta ievainojamība, kas varētu ļaut palaist patvaļīgu kodu. NArchive:: NRar:: CHandler:: Extract metode CPP / 7zip / Archive / Rar / RarHandler.cpp veic faila datu dekodēšanu, izmantojot lielākoties neinicializētu stāvokli. Šis stāvoklis kopā ar adreses telpas dizaina nejaušības (ASLR) trūkumu galvenajos izpildāmos failos (7zFM.exe, 7zG.exe, 7z.exe) var izraisīt atmiņas bojājumus, kas izraisa patvaļīgu koda izpildi.

Veiksmīga šīs ievainojamības izmantošana varētu ļaut patvaļīgu koda izpildi. Atkarībā no privilēģijām, kas saistītas ar lietotāju, uzbrucējs pēc tam varētu instalēt programmas; skatīt, mainīt vai dzēst datus; vai izveidojiet jaunus kontus ar pilnām lietotāja tiesībām. Lietotāji, kuru konti ir konfigurēti tā, lai sistēmā būtu mazāk lietotāju tiesību, var tikt mazāk ietekmēti nekā tie, kuri darbojas ar administratora lietotāja tiesībām.

Šī bez problēmu versija tika izlaista 30. aprīlī un ir numurēta ar 18.05, visas iepriekšējās ir neaizsargātas, tāpēc ir ļoti ieteicams atjaunināt programmu uz jaunāko pieejamo versiju.

Overclock3d fonts