Kritická zraniteľnosť v komprimačnom nástroji 7-Zip

Vývojári komprimačného nástroja 7-Zip vydali bezpečnostné aktualizácie, ktoré opravujú kritickú bezpečnostnú zraniteľnosť. CVE-2024-11477 možno podvrhnutím špeciálne vytvorených súborov zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

• 7-Zip vo verziách starších ako 24.07

Opis zraniteľnosti:

CVE-2024-11477 (CVSS skóre 7,8)

Kritická zraniteľnosť s označením CVE-2024-11477 spočíva v nedostatočnom overovaní používateľských vstupov v rámci implementácie dekompresie Zstandard. Vzdialený neautentifikovaný útočník by prostredníctvom podvrhnutia špeciálne vytvorených súborov mohol spôsobiť podtečenie celočíselnej premennej a následne vykonať škodlivý kód. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí otvoriť špeciálne vytvorené súbory. Zraniteľnosť odhalili výskumníci zo Zero Day Initiative (ZDI).

Možné škody:

• Vzdialené vykonávanie kódu

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu 7-Zip na verziu 24.07 alebo novšiu.

Zdroje:

• https://www.zerodayinitiative.com/advisories/ZDI-24-1532/
• https://www.cve.org/CVERecord?id=CVE-2024-11477
• https://cybersecuritynews.com/7-zip-vulnerability-arbitrary-code/