В архиваторе 7-Zip обнаружен ряд уязвимостей

Исследователи команды Cisco Talos обнаружили ряд уязвимостей в популярном файловом архиваторе 7-Zip. Эксплуатация проблем позволяет злоумышленнику скомпрометировать целевую систему и выполнить произвольный код или вызвать отказ в обслуживании. По словам экспертов, в категорию риска попадают все устройства, на которых установлены уязвимые версии 7-Zip.

Первая проблема CVE-2016-2335 существует из-за ошибки при обработке UDF-файлов. При помощи специально сформированной записи атакующий может выполнить произвольный код на целевой системе. Вторая уязвимость CVE-2016-2334 существует в функции Archive::NHfs::CHandler::ExtractZlibFile. Ее эксплуатация позволяет вызвать переполнение буфера и, как следствие, привести к отказу в обслуживании.

Специалисты Cisco Talos предоставили всю информацию о вышеуказанных уязвимостях разработчикам 7-Zip. Авторы ПО отреагировали на сообщение выпуском исправленной версии 7-Zip 16.00. Эксперты рекомендуют всем пользователям как можно скорее установить обновление.