Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Олег Иванов 06 Июня 2018 - 10:26

...

Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Вредоносные файлы архивов могут быть использованы злоумышленником для эксплуатации уязвимости, которая позволяет перезаписывать документы и данные, находящиеся в файловой системе компьютера. Эта же брешь может также привести к удаленному выполнению кода.

Проблема получила название «Zip Slip», ее обнаружили эксперты из Snyk, она затрагивает следующие форматы файлов: zip, .tar, .war, .cpio и .7z.

Баги были найдены в коде библиотек, написанных разработчиками Apache, Oracle и другими, что ставит под угрозу тысячи приложений. В настоящее время выпущены патчи библиотек, это значит, что разработчики продуктов, использующих небезопасный код, должны обновить свои программы.

В случае открытия пользователем вредоносного архива, который эксплуатирует данную брешь, атакующий может выполнить набор команд и перезаписать данные, фактически это позволит установить вредоносные программы в систему.

По словам исследователей из Snyk, ошибки присутствуют в коде, который распаковывает сжатые архивы. Если программа неверно обрабатывает имена файлов в архиве, киберпреступник могут установить свой путь для распаковки. При извлечении такого файла он перезапишет данные в том месте, куда его извлекут.

В случае атаки это поможет злоумышленнику скопировать файл в системный каталог или другое место, к которому у него нет обычного доступа. Таким образом, атакующий может заменять системные файлы, либо помещать файлы вредоносных сценариев в системные папки.

Эксперты опубликовали видео, доказывающее концепцию этой уязвимости:

Также специалисты опубликовали код Java, использующий уязвимую библиотеку:

1: Enumeration<ZipEntry>entries = zip.getEntries(); 
2: while(entries.hasMoreElements()){
3: ZipEntry e = entries.nextElement();
4: File f = new File(dir, e.getName());
5: InputStream input = zip.getInputStream(e);
6: IOUtils.copy(input, write(f));
7: }

Среди продуктов, использующих уязвимые библиотеки, есть такие, как платформа Google Cloud, набор программного обеспечения Oracle, Amazon CodePipeline, IBM DataPower, Alibaba JStorm и Twitter Heron.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 20:04

Ошибки конфигурации программ Общее Microsoft

OOXML — фикция: LibreOffice обвинила Microsoft в манипуляциях

Проблемы совместимости остаются одной из главных причин, по которым пользователи не спешат переходить с Microsoft Office на LibreOffice. Формально всё работает, но на практике время от времени всплывают странности с вёрсткой, форматированием и отображением данных. И, как считают в The Document Foundation (TDF), дело тут вовсе не в LibreOffice.

Фонд, стоящий за LibreOffice, снова выступил с жёсткой критикой Microsoft. В блоге Итало Виньоли — одного из основателей TDF — корпорация из Редмонда обвиняется в том, что она игнорирует интересы отрасли ради собственных коммерческих целей.

По его словам, утверждение «OOXML — это стандарт, и его просто нужно принять» выглядит, мягко говоря, странно.

Виньоли настаивает: Office Open XML (OOXML) не может считаться полноценным стандартом, пока Microsoft не готова радикально переработать сами приложения Office. В качестве примера он напомнил о давней проблеме Excel с автопреобразованием данных — истории, которая напрямую затронула научное сообщество.

Excel годами автоматически превращал текстовые значения в даты. Для обычных таблиц это удобно, но для генетиков — катастрофа. Названия генов вроде MARCH1, SEPT1 или DEC1 Excel воспринимал как даты и превращал их в «1-Mar», «1-Sep» и «1-Dec».

В 2016 году журнал Genome Biology проанализировал почти 3,6 тысячи научных работ с Excel-файлами и выяснил, что примерно в каждой пятой были ошибки, вызванные именно автозаменой форматов.

Долгое время Microsoft считала проблему нишевой и не давала возможность отключить такое поведение. Лишь в 2023 году компания добавила соответствующую настройку; уже после того, как Комитет по номенклатуре генов человека (HGNC) был вынужден переименовать около 27 генов, чтобы избежать ошибок. К тому моменту ущерб для исследований уже был нанесён.

По словам Виньоли, OOXML «открыт» лишь формально. Спецификация формата занимает около 7 000 страниц, что делает полноценную и корректную реализацию сторонними разработчиками почти невозможной.

Кроме того, Microsoft Office сам не использует строгую версию стандарта (Strict OOXML), предпочитая так называемый Transitional-вариант. В нём до сих пор есть зависимости от старых, проприетарных форматов и поведения древних версий Word — вплоть до элементов с названиями вроде autoSpaceLikeWord95 или shapeLayoutLikeWW8.

Отдельно Виньоли критикует рекомендации использовать Windows Metafile для графики вместо открытых и кросс-платформенных форматов вроде SVG.

Для пользователей всё это выливается в знакомую проблему: документы между Office и LibreOffice открываются, но не всегда так, как ожидалось. Для TDF же это очередное подтверждение того, что формат Office по-прежнему работает как инструмент удержания пользователей внутри экосистемы Microsoft.

Спор вокруг OOXML длится уже много лет, и новый выпад со стороны LibreOffice ясно показывает: вопрос совместимости и «открытых стандартов» по-прежнему далёк от закрытия.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »