Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Олег Иванов 06 Июня 2018 - 10:26

...

Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Вредоносные файлы архивов могут быть использованы злоумышленником для эксплуатации уязвимости, которая позволяет перезаписывать документы и данные, находящиеся в файловой системе компьютера. Эта же брешь может также привести к удаленному выполнению кода.

Проблема получила название «Zip Slip», ее обнаружили эксперты из Snyk, она затрагивает следующие форматы файлов: zip, .tar, .war, .cpio и .7z.

Баги были найдены в коде библиотек, написанных разработчиками Apache, Oracle и другими, что ставит под угрозу тысячи приложений. В настоящее время выпущены патчи библиотек, это значит, что разработчики продуктов, использующих небезопасный код, должны обновить свои программы.

В случае открытия пользователем вредоносного архива, который эксплуатирует данную брешь, атакующий может выполнить набор команд и перезаписать данные, фактически это позволит установить вредоносные программы в систему.

По словам исследователей из Snyk, ошибки присутствуют в коде, который распаковывает сжатые архивы. Если программа неверно обрабатывает имена файлов в архиве, киберпреступник могут установить свой путь для распаковки. При извлечении такого файла он перезапишет данные в том месте, куда его извлекут.

В случае атаки это поможет злоумышленнику скопировать файл в системный каталог или другое место, к которому у него нет обычного доступа. Таким образом, атакующий может заменять системные файлы, либо помещать файлы вредоносных сценариев в системные папки.

Эксперты опубликовали видео, доказывающее концепцию этой уязвимости:

Также специалисты опубликовали код Java, использующий уязвимую библиотеку:

1: Enumeration<ZipEntry>entries = zip.getEntries(); 
2: while(entries.hasMoreElements()){
3: ZipEntry e = entries.nextElement();
4: File f = new File(dir, e.getName());
5: InputStream input = zip.getInputStream(e);
6: IOUtils.copy(input, write(f));
7: }

Среди продуктов, использующих уязвимые библиотеки, есть такие, как платформа Google Cloud, набор программного обеспечения Oracle, Amazon CodePipeline, IBM DataPower, Alibaba JStorm и Twitter Heron.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Марта 2026 - 10:39

Windows Домашние пользователи Корпорации Microsoft

Microsoft прикрыла популярный способ бесплатно ускорить SSD в Windows 11

Пользователи Windows 11 в последние месяцы нашли приятный лайфхак: оказалось, что в системе можно вручную включить «родной» драйвер NVMe, который Microsoft изначально продвигала для Windows Server 2025. После такой настройки у многих заметно росла производительность SSD, особенно в случайных операциях чтения и записи. Но теперь, похоже, эту лазейку закрывают.

Суть трюка была в том, что Windows Server 2025 получила нативную поддержку NVMe, при которой система перестаёт обращаться с современными SSD как с более старыми накопителями через лишний слой совместимости.

Microsoft заявляла, что такой подход может дать прирост до 80% по IOPS и снизить нагрузку на CPU. Энтузиасты быстро выяснили, что нужные компоненты уже есть и в Windows 11 24H2 и 25H2, их оставалось только активировать через реестр.

После перезагрузки система начинала корректнее работать с NVMe-накопителем, а в тестах у части пользователей особенно хорошо росли именно случайные скорости. Причём заметнее всего эффект нередко проявлялся на не самых мощных системах и более доступных SSD, где лишние накладные расходы ощущаются сильнее. О таком приросте писали сразу несколько профильных изданий и участников форумов.

Теперь ситуация меняется. По сообщениям с форумов My Digital Life, в свежих тестовых сборках Windows 11 Microsoft отключила старый способ активации через реестр: система просто игнорирует эти ключи. Официально компания пока не объяснила, почему так сделала, но со стороны это выглядит как аккуратное сворачивание неофициального метода.

Впрочем, полностью тема не закрыта. Пользователи уже нашли обходной путь через ViVeTool, который позволяет принудительно включить нужную функцию по ID даже после блокировки реестрового трюка.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!