Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе
Главная » Новости
Первый летний опен-эйр для специалистов по кибербезопасности 17 июля в 11:00 встречаемся в «Берёзы Парк Строгино», где обсудим ИИ в кибербезе, таргетированные атаки, цифровую криминалистику и Bug Bounty.
В программе:
• доклады и практические кейсы;
• воркшопы и киберучения;
• спикерские консультации и живой нетворкинг;
• игровые активности и квест по социнженерии;
• научпоп с Владимиром Сурдиным.→ Купить билет
Реклама. АО «Инфосистемы Джет», ИНН 7729058675, 7+

Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Олег Иванов 06 Июня 2018 - 10:26
...
Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Вредоносные файлы архивов могут быть использованы злоумышленником для эксплуатации уязвимости, которая позволяет перезаписывать документы и данные, находящиеся в файловой системе компьютера. Эта же брешь может также привести к удаленному выполнению кода.

Проблема получила название «Zip Slip», ее обнаружили эксперты из Snyk, она затрагивает следующие форматы файлов: zip, .tar, .war, .cpio и .7z.

Баги были найдены в коде библиотек, написанных разработчиками Apache, Oracle и другими, что ставит под угрозу тысячи приложений. В настоящее время выпущены патчи библиотек, это значит, что разработчики продуктов, использующих небезопасный код, должны обновить свои программы.

В случае открытия пользователем вредоносного архива, который эксплуатирует данную брешь, атакующий может выполнить набор команд и перезаписать данные, фактически это позволит установить вредоносные программы в систему.

По словам исследователей из Snyk, ошибки присутствуют в коде, который распаковывает сжатые архивы. Если программа неверно обрабатывает имена файлов в архиве, киберпреступник могут установить свой путь для распаковки. При извлечении такого файла он перезапишет данные в том месте, куда его извлекут.

В случае атаки это поможет злоумышленнику скопировать файл в системный каталог или другое место, к которому у него нет обычного доступа. Таким образом, атакующий может заменять системные файлы, либо помещать файлы вредоносных сценариев в системные папки.

Эксперты опубликовали видео, доказывающее концепцию этой уязвимости:

Также специалисты опубликовали код Java, использующий уязвимую библиотеку:

1: Enumeration<ZipEntry>entries = zip.getEntries(); 
2: while(entries.hasMoreElements()){
3: ZipEntry e = entries.nextElement();
4: File f = new File(dir, e.getName());
5: InputStream input = zip.getInputStream(e);
6: IOUtils.copy(input, write(f));
7: }

Среди продуктов, использующих уязвимые библиотеки, есть такие, как платформа Google Cloud, набор программного обеспечения Oracle, Amazon CodePipeline, IBM DataPower, Alibaba JStorm и Twitter Heron.

Следующая главная новость »
AM LiveОшибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Россиян не заставят ставить смартфоны на учёт: Минцифры опровергло слухи
Екатерина Быстрова 19 Июня 2026 - 11:25
Соответствие законодательству РФ Общее Соответствие требованиям регуляторов
Россиян не заставят ставить смартфоны на учёт: Минцифры опровергло слухи

В соцсетях и мессенджерах снова разгоняют страшилку про тотальный контроль смартфонов. На этот раз россиян пугают тем, что якобы все владельцы мобильных устройств будут обязаны регистрировать свои телефоны в государственной базе, а сим-карты привяжут к IMEI — уникальным идентификаторам устройств.

Но, как выяснилось, это очередной фейк. На распространяющиеся сообщения обратил внимание телеграм-канал «Лапша Медиа».

После появления слухов ситуацию прокомментировали в Минцифры. В ведомстве заявили, что обязательной регистрации смартфонов для граждан не планируется, а информация о привязке сим-карт к IMEI не соответствует действительности.

На самом деле создаваемая база IMEI предназначена в первую очередь для продавцов и импортёров техники. Именно они должны вносить сведения о ввозимых устройствах в систему.

Для обычных пользователей никаких новых обязательств не появляется. Если человек самостоятельно привёз смартфон из-за границы для личного использования, он сможет зарегистрировать устройство по собственному желанию. Причём отсутствие такой регистрации не повлечёт никаких штрафов или ограничений.

Основная задача базы IMEI связана совсем не с контролем пользователей, а с борьбой против мошенников и серого рынка электроники. Предполагается, что система позволит блокировать украденные смартфоны и устройства, ввезённые в страну с нарушением законодательства.

Проще говоря, идея заключается в том, чтобы сделать бесполезными телефоны, оказавшиеся в руках злоумышленников.

В Минцифры подчёркивают: никакой массовой переписи смартфонов для граждан не вводится. Поэтому сообщения о том, что россиян якобы заставят регистрировать каждый телефон и привязывать его к сим-карте, не имеют отношения к реальным планам регулятора.

AM LiveОшибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!
В каршеринговом сервисе Делимобиль массовый сбой
Новость
В каршеринговом сервисе Делимобиль массовый сбой
Регулирование ИИ в России смягчили после критики бизнеса
Новость
Регулирование ИИ в России смягчили после критики бизнеса
Каждый третий ребёнок получал криминальные предложения в Сети
Новость
Каждый третий ребёнок получал криминальные предложения в Сет...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.