Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Олег Иванов 06 Июня 2018 - 10:26

...

Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Вредоносные файлы архивов могут быть использованы злоумышленником для эксплуатации уязвимости, которая позволяет перезаписывать документы и данные, находящиеся в файловой системе компьютера. Эта же брешь может также привести к удаленному выполнению кода.

Проблема получила название «Zip Slip», ее обнаружили эксперты из Snyk, она затрагивает следующие форматы файлов: zip, .tar, .war, .cpio и .7z.

Баги были найдены в коде библиотек, написанных разработчиками Apache, Oracle и другими, что ставит под угрозу тысячи приложений. В настоящее время выпущены патчи библиотек, это значит, что разработчики продуктов, использующих небезопасный код, должны обновить свои программы.

В случае открытия пользователем вредоносного архива, который эксплуатирует данную брешь, атакующий может выполнить набор команд и перезаписать данные, фактически это позволит установить вредоносные программы в систему.

По словам исследователей из Snyk, ошибки присутствуют в коде, который распаковывает сжатые архивы. Если программа неверно обрабатывает имена файлов в архиве, киберпреступник могут установить свой путь для распаковки. При извлечении такого файла он перезапишет данные в том месте, куда его извлекут.

В случае атаки это поможет злоумышленнику скопировать файл в системный каталог или другое место, к которому у него нет обычного доступа. Таким образом, атакующий может заменять системные файлы, либо помещать файлы вредоносных сценариев в системные папки.

Эксперты опубликовали видео, доказывающее концепцию этой уязвимости:

Также специалисты опубликовали код Java, использующий уязвимую библиотеку:

1: Enumeration<ZipEntry>entries = zip.getEntries(); 
2: while(entries.hasMoreElements()){
3: ZipEntry e = entries.nextElement();
4: File f = new File(dir, e.getName());
5: InputStream input = zip.getInputStream(e);
6: IOUtils.copy(input, write(f));
7: }

Среди продуктов, использующих уязвимые библиотеки, есть такие, как платформа Google Cloud, набор программного обеспечения Oracle, Amazon CodePipeline, IBM DataPower, Alibaba JStorm и Twitter Heron.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 16 Января 2026 - 13:42

Android Домашние пользователи

WhatsApp тестирует функцию проверки приватности статусов

WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) начал тестировать новую функцию, которая делает статусы чуть более понятными. В свежей бета-версии мессенджера для Android (2.26.2.9), доступной через программу Google Play Beta, у части пользователей появилась возможность посмотреть, с какими настройками приватности был опубликован конкретный статус.

Идея простая, но давно назревшая. Многие пользователи часто меняют аудиторию для статусов: один раз — «Мои контакты», другой — «Кроме…» или «Только для…».

Проходит время, и уже не всегда понятно, кто именно видел этот конкретный статус. Из-за этого люди нередко перестраховываются — удаляют публикацию и выкладывают её заново. Теперь, похоже, в этом больше нет необходимости.

Как работает новая функция, по информации WABetaInfo? Если она активирована для вашей учётной записи, достаточно открыть опубликованный за последние 24 часа статус, перейти в список просмотров и открыть меню с тремя точками. Там появляется новый пункт — Audience («Аудитория»). В нём WhatsApp показывает, с какими настройками конфиденциальности был опубликован этот статус.

Пользователь сразу видит, кому именно был доступен контент: всем контактам, всем кроме отдельных людей или только выбранной группе. Если статус был опубликован с ограничениями, можно посмотреть, кто именно исключён из списка или, наоборот, входит в него. Это особенно удобно для тех, кто часто экспериментирует с настройками видимости.

Кроме того, в этом же разделе отображается ещё один важный момент — разрешён ли репост статуса. Даже если после публикации вы уже не помните, включали ли возможность пересылки, теперь это легко проверить.

В итоге новая функция решает вполне бытовую, но раздражающую проблему: когда не уверен, «туда ли ушёл статус». Теперь можно просто проверить настройки и уже потом решать — оставлять публикацию или удалять её.

Пока функция доступна лишь части бета-тестеров, установивших бета-версию WhatsApp для Android версии 2.26.2.9. Компания продолжает тестирование и следит за стабильностью работы. Если всё пройдёт гладко, в ближайших обновлениях возможность просматривать настройки приватности статусов появится у более широкой аудитории.

Напомним, недавно в Сети нашлиновый способ вернуть быстрый нативный WhatsApp в Windows 11. Интересно также новое исследование учёных из Билефельдского университета, основанное на метаданных WhatsApp, — оно показало, чтомы плохо понимаем, как ведём себя в чатах.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »