Исследователи Digital Security помогают Яндексу устранить опасную уязвимость

Исследователи Digital Security помогают Яндексу устранить уязвимость

30-го января на 7-й встрече сообщества Defcon Russia руководитель департамента аудита информационной безопасности компании Digital Security Алексей Синцов раскрыл детали опасной уязвимости в почтовом сервисе компании «Яндекс», которая заняла призовое место в рамках прошедшего 25-го ноября 2011 г. конкурса на конференции ZeroNights 2011.



Уязвимость заключалась в том, что потенциальный нарушитель мог получить доступ к ограниченной конфиденциальной информации пользователей сервиса. Компания Яндекс высоко оценила степень критичности данной уязвимости и оперативно приняла все надлежащие меры для её устранения.

«Данный конкурс – это уникальное для нашей страны событие. Уязвимости есть везде, но не каждый готов к открытой работе со своими проблемами. Компания Яндекс попробовала себя в этом деле, и я уверен, что полученный результат оправдал такой подход. Для западных компаний подобная практика не нова: такие известные разработчики, как Google, Mozilla и Facebook, используют практически аналогичную модель работы с внешними исследователями. Например, не так давно DSecRG – исследовательский центр Digital Security – был отмечен компанией Google за найденную опасную уязвимость в Google Docs. Ведь, в конечном счете, чем больше людей будут искать и находить уязвимости – тем меньше их останется для плохих парней, а это делает сервис более защищенным» – прокомментировал Алексей Синцов.

30-го января на 7-й встрече сообщества Defcon Russia руководитель департамента аудита информационной безопасности компании Digital Security Алексей Синцов раскрыл детали опасной уязвимости в почтовом сервисе компании «Яндекс», которая заняла призовое место в рамках прошедшего 25-го ноября 2011 г. конкурса на конференции ZeroNights 2011." />
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

7-Zip до версии 25.0.0 уязвим к сбоям и повреждению памяти

Исследователи нашли сразу две свежие уязвимости в 7-Zip — одном из самых популярных архиваторов с открытым исходным кодом. Проблемы получили идентификаторы CVE-2025-53816 и CVE-2025-53817 и затрагивают все версии до 7-Zip 25.0.0 включительно.

Что важно: уязвимости не позволяют удалённо выполнить код, но всё равно могут привести к сбоям в работе программы и повреждению памяти.

А это уже вполне себе повод для беспокойства, особенно если вы часто работаете с архивами из сомнительных источников.

Первая уязвимость (CVE-2025-53816) связана с обработкой архивов формата RAR5. Ошибка в расчётах — сколько байтов нужно обнулить при извлечении — может привести к тому, что 7-Zip выйдет за границы отведённой памяти. Это может вызвать повреждение памяти и сбои в работе программы.

Причина — переменная _lzEnd, значение которой можно частично контролировать через содержимое архива. Эксперты отмечают, что вероятность выполнения произвольного кода низкая, но сбои в работе и отказ в обслуживании вполне реальны.

Вторая уязвимость (CVE-2025-53817) затрагивает работу с Compound Document — это такой формат, в котором хранятся, например, старые файлы Microsoft Office. Достаточно одного «кривого» файла, и 7-Zip просто падает. Особенно неприятно, если такой файл попадёт в автоматизированную систему обработки документов — может всё поломать.

Разработчики уже всё пофиксили в новой версии 7-Zip 25.0.0. Так что — не тяните, обновляйтесь! Особенно если часто имеете дело с файлами из непроверенных источников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru