作者kuro (支那啃民黨 凸 ̄▽ ̄凸)
看板EZsoft
標題[情報] 7-Zip 發現多個高危漏洞
時間Sat May 14 01:08:13 2016
思科 Talos 安全團隊的研究人員報告(*1)在流行的開源解壓縮工具 7-Zip 中發現多個
可利用的漏洞。
7-Zip 剛剛釋出了最新版的 v16.00(*2) 修復了漏洞,使用 7-Zip 用戶建議盡快升級。
研究人員稱,7-Zip 處理 Universal Disk Format(UDF) 文件的方法
CInArchive::ReadFileItem 存在越界讀漏洞,能被任何包含畸形 Long Allocation
Descriptor 的條目觸發。
另一個可被利用的是堆溢出漏洞,存在於 Archive::NHfs::CHandler::ExtractZlibFile
方法中。
兩個漏洞都是有缺陷的輸入驗證導致的。
數據輸入驗證對所有軟件的安全都是至關重要的。
*1:
http://blog.talosintel.com/2016/05/multiple-7-zip-vulnerabilities.html
*2:
http://www.7-zip.org/download.html
http://www.solidot.org/story?threshold=0&mode=flat&sid=48200
--
http://i.imgur.com/Fk1YLV7.png
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.161.83.41
※ 文章網址: https://www.ptt.cc/bbs/EZsoft/M.1463159306.A.245.html
→ Daniel66: 感謝 已更新 05/14 01:12
推 wuliou: WTF 05/14 15:28
推 cool91788: 震驚 已更新 05/17 20:17
→ jimrex12025: 舊版本需要先uninstall嗎 05/25 23:16
→ kuro: 不需要吧 我自己是直接安裝新版覆蓋 05/26 04:50