Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Scoperte gravi vulnerabilità in 7-Zip

7-Zip   venerdì, 13 maggio 2016

7-Zip è un software open source per la compressione di file che lavora col formato archivio 7z e può leggere e scrivere molti altri tipi di file archivio. 7-Zip supporta file di grandi dimensioni ed è in grado di cifrare i file utilizzando la crittografia forte AES-256.

I ricercatori di Cisco Talos hanno scoperto due gravi vulnerablità in 7-Zip che possono essere sfruttate per ottenere il controllo completo del computer su cui risiede una versione affetta di questo software.

Dettagli delle vulnerabilità:

  • Vulnerabilità di tipo out-of-bounds in lettura nella gestione di file di tipo Universal Disk Format (UDF) (CVE-2016-2335).
  • Vulnerabilità sfruttabile di tipo heap overflow nella gestione di archivi in formato zlib (CVE-2016-2334).

Entrambe queste vulnerabilità derivano da problemi di validazione dell’input da parte del software interessato. Un attaccante potrebbe sfruttare queste falle mediante file appositamente predisposti nei formati appropriati, per eseguire codice arbitrario ed ottenere gli stessi diritti di accesso dell’utente corrente.

Quello che rende queste vulnerabilità particolarmente insidiose è il fatto che il codice di 7-Zip viene distribuito liberamente con licenza GNU Lesser General Public License (LGPL) e può essere utilizzato, anche in forma di libreria DLL, in progetti software anche commerciali senza alcuna restrizione. Moltissime applicazioni utilizzano le librerie di 7-Zip per la compressione e la cifratura di file, inclusi software per dispositivi di sicurezza, applicazioni crittografiche e prodotti antivirus.

Si raccomanda agli utenti di sistemi desktop di aggiornare al più presto 7-Zip alla versione 16.00.

Notizie correlate

Vulnerabilità in 7-Zip può consentire l’esecuzione di codice arbitrario

2 maggio 2018

È stata scoperta una grave vulnerabilità in 7-Zip che può consentire l'esecuzione di codice arbitrario.Leggi tutto

Vulnerabilità in 7-Zip consente esecuzione di codice arbitrario

25 gennaio 2018

Sono state scoperte due diverse vulnerabilità in 7-Zip, la più grave delle quali può consentire l'esecuzione di codice arbitrario.Leggi tutto