GRAVES VULNERABILIDADES EN 7-ZIP

Publicado el 16 mayo 2016 ¬ 9:02 amh.mscComentarios desactivados en GRAVES VULNERABILIDADES EN 7-ZIP

Graves vulnerabilidades en 7-zip

Se han anunciado dos vulnerabilidades graves en el compresor y descompresor de archivos 7-zip que podrían permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.
7-zip es una popular aplicación libre de código abierto para comprimir y descomprimir archivos desarrollada por Igor Pavlov. Además de usar el formato de archivo 7z, también libre, también soporta los formatos de archivos comprimidos más conocidos (como zip, arj, tar, rar…)

El primer problema, con CVE-2016-2335, reside en una lectura fuera de límites en la forma en que 7-zip trata archivos UDF (Universal Disk Format). Este sistema de archivos estaba destinado a reemplazar el formato de archivo ISO-9660, y finalmente fue adoptado como el sistema oficial de archivos para DVD-Vídeo y DVD-Audio. Concretamente el problema se encuentra en el método CInArchive::ReadFileItem.

Por otra parte, con CVE-2016-2334, un desbordamiento de búfer basado en heap en el método NArchive::NHfs::CHandler::ExtractZlibFile de 7-Zip en el tratamiento de imágenes del sistema de archivos HFS+.

Ambos problemas, descubiertos y reportados de forma responsable por el grupo de investigación de amenazas online Talos de Cisco, podrían permitir la ejecución remota de código arbitrario si el usuario abre un archivo específicamente creado.

Se ha publicado la versión 16.00 de 7-zip que corrige estos problemas, disponible desde:
http://www.7-zip.org/

Como problema adicional, también hay que destacar el gran número de fabricantes y desarrolladores que pueden estar utilizando las bibliotecas afectadas. Como 7-zip es de código abierto, compatible con todas las plataformas, y una de las utilidades de almacenamiento más populares actualmente, son muchos los desarrolladores que hacen uso de sus librerías para el tratamiento de archivos. Por lo que también pueden ser muchas las aplicaciones afectadas por estos problemas.

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2016/05/graves-vulnerabilidades-en-7-zip.html

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies