Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Олег Иванов 06 Июня 2018 - 10:26

...

Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Вредоносные файлы архивов могут быть использованы злоумышленником для эксплуатации уязвимости, которая позволяет перезаписывать документы и данные, находящиеся в файловой системе компьютера. Эта же брешь может также привести к удаленному выполнению кода.

Проблема получила название «Zip Slip», ее обнаружили эксперты из Snyk, она затрагивает следующие форматы файлов: zip, .tar, .war, .cpio и .7z.

Баги были найдены в коде библиотек, написанных разработчиками Apache, Oracle и другими, что ставит под угрозу тысячи приложений. В настоящее время выпущены патчи библиотек, это значит, что разработчики продуктов, использующих небезопасный код, должны обновить свои программы.

В случае открытия пользователем вредоносного архива, который эксплуатирует данную брешь, атакующий может выполнить набор команд и перезаписать данные, фактически это позволит установить вредоносные программы в систему.

По словам исследователей из Snyk, ошибки присутствуют в коде, который распаковывает сжатые архивы. Если программа неверно обрабатывает имена файлов в архиве, киберпреступник могут установить свой путь для распаковки. При извлечении такого файла он перезапишет данные в том месте, куда его извлекут.

В случае атаки это поможет злоумышленнику скопировать файл в системный каталог или другое место, к которому у него нет обычного доступа. Таким образом, атакующий может заменять системные файлы, либо помещать файлы вредоносных сценариев в системные папки.

Эксперты опубликовали видео, доказывающее концепцию этой уязвимости:

Также специалисты опубликовали код Java, использующий уязвимую библиотеку:

1: Enumeration<ZipEntry>entries = zip.getEntries(); 
2: while(entries.hasMoreElements()){
3: ZipEntry e = entries.nextElement();
4: File f = new File(dir, e.getName());
5: InputStream input = zip.getInputStream(e);
6: IOUtils.copy(input, write(f));
7: }

Среди продуктов, использующих уязвимые библиотеки, есть такие, как платформа Google Cloud, набор программного обеспечения Oracle, Amazon CodePipeline, IBM DataPower, Alibaba JStorm и Twitter Heron.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Марта 2026 - 17:55

Перехват данных по сети Человек посередине (Man in the Middle)Уязвимости программ Домашние пользователи

Телегу заподозрили в перехвате трафика и скрытой модерации

Сторонний клиент Telegram под названием «Телега», который в последние недели стал быстро набирать популярность на фоне проблем с доступом к Telegram в России, оказался в центре нового скандала. Группа анонимных исследователей заявила, что приложение якобы использует схему «Человек посередине» и может вмешиваться в трафик между пользователем и серверами Telegram.

Суть претензии такая: «Телега», по версии авторов анализа, работает не как обычный клиент Telegram, который напрямую подключается к дата-центрам мессенджера, а как промежуточное звено.

Исследователи утверждают, что приложение сначала получает с собственного API список серверов, которые подменяют стандартные адреса Telegram, а затем перенастраивает подключение клиента на инфраструктуру «Телеги».

На этом подозрения не заканчиваются. По данным анализа APK-файла и нативной библиотеки клиента, в «Телеге» якобы встроен дополнительный RSA-публичный ключ, которого нет в официальном клиенте Telegram. Исследователи утверждают, что этот ключ принимают серверы «Телеги», но не серверы самого Telegram. Из этого они делают вывод, что приложение потенциально способно перехватывать первичное рукопожатие MTProto, а значит — оказываться «посередине» между пользователем и настоящим сервером мессенджера.

Именно такой сценарий теоретически открывает дорогу к классической MITM-схеме: договориться с клиентом об одном ключе шифрования, с Telegram — о другом, а весь трафик между ними просматривать, сохранять или даже изменять. Независимого публичного подтверждения того, что это действительно происходило в реальной эксплуатации, на данный момент нет, но сама архитектура вызвала у исследователей серьёзные вопросы.

Отдельно в анализе упоминается ещё один тревожный момент: в «Телега», как утверждается, по умолчанию отключена Perfect Forward Secrecy. В обычном Telegram этот механизм нужен затем, чтобы даже в случае компрометации одного ключа нельзя было расшифровать старую переписку. Здесь же, по версии авторов разбора, использование PFS может управляться удалённо через конфиг с серверов «Телега».

Ещё одна претензия касается секретных чатов. Исследователи утверждают, что в клиенте они фактически отключены удалённым флагом и входящие запросы на секретный чат могут просто игнорироваться. То есть пользователь может даже не узнать, что кто-то пытался начать с ним зашифрованный сквозным шифрованием диалог.

Кроме того, в приложении нашли и признаки собственной системы модерации и фильтрации. По данным анализа, «Телега» может обращаться к отдельному API, чтобы проверять пользователей, каналы, чаты и ботов по внутреннему «чёрному списку». Если объект попадает под фильтр, клиент показывает заглушку о недоступности материала, причём внешне это может выглядеть так, будто ограничение наложила сама платформа.

Дополнительный резонанс вызвали найденные на поддоменах «Телега» тестовые стенды с названиями Zeus и Cerberus. Авторы анализа связывают их с системой обработки запросов на блокировку контента и оперативной модерацией сообщений, в том числе с ИИ-анализом, автоудалением и автобаном. Но здесь тоже важно оговориться: речь идёт именно о найденных тестовых панелях, а не о доказанном использовании всех этих инструментов в боевой среде.

Напомним, сегодня мы также писали, что команда мессенджера «Телега» прокомментировала обсуждение вокруг происхождения приложения и его технологической базы. Поводом стали публикации, в которых поднимались вопросы о возможной связи сервиса со структурами VK.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!