Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Олег Иванов 06 Июня 2018 - 10:26

...

Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Вредоносные файлы архивов могут быть использованы злоумышленником для эксплуатации уязвимости, которая позволяет перезаписывать документы и данные, находящиеся в файловой системе компьютера. Эта же брешь может также привести к удаленному выполнению кода.

Проблема получила название «Zip Slip», ее обнаружили эксперты из Snyk, она затрагивает следующие форматы файлов: zip, .tar, .war, .cpio и .7z.

Баги были найдены в коде библиотек, написанных разработчиками Apache, Oracle и другими, что ставит под угрозу тысячи приложений. В настоящее время выпущены патчи библиотек, это значит, что разработчики продуктов, использующих небезопасный код, должны обновить свои программы.

В случае открытия пользователем вредоносного архива, который эксплуатирует данную брешь, атакующий может выполнить набор команд и перезаписать данные, фактически это позволит установить вредоносные программы в систему.

По словам исследователей из Snyk, ошибки присутствуют в коде, который распаковывает сжатые архивы. Если программа неверно обрабатывает имена файлов в архиве, киберпреступник могут установить свой путь для распаковки. При извлечении такого файла он перезапишет данные в том месте, куда его извлекут.

В случае атаки это поможет злоумышленнику скопировать файл в системный каталог или другое место, к которому у него нет обычного доступа. Таким образом, атакующий может заменять системные файлы, либо помещать файлы вредоносных сценариев в системные папки.

Эксперты опубликовали видео, доказывающее концепцию этой уязвимости:

Также специалисты опубликовали код Java, использующий уязвимую библиотеку:

1: Enumeration<ZipEntry>entries = zip.getEntries(); 
2: while(entries.hasMoreElements()){
3: ZipEntry e = entries.nextElement();
4: File f = new File(dir, e.getName());
5: InputStream input = zip.getInputStream(e);
6: IOUtils.copy(input, write(f));
7: }

Среди продуктов, использующих уязвимые библиотеки, есть такие, как платформа Google Cloud, набор программного обеспечения Oracle, Amazon CodePipeline, IBM DataPower, Alibaba JStorm и Twitter Heron.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Яков Шпунт 27 Апреля 2026 - 10:15

GenAI (генеративный искусственный интеллект)Соответствие законодательству РФ Общее

Регулирование ИИ в России смягчили после критики бизнеса

Законопроект о регулировании искусственного интеллекта, подготовленный Минцифры, заметно скорректировали с учётом замечаний бизнеса. Требования к национальным и суверенным моделям стали более сбалансированными, изменились нормы по маркировке ИИ-контента, а часть спорных положений убрали из текста документа.

Обновлённый текст законопроекта оказался в распоряжении «Российской газеты». Как отметили источники издания, близкие к работе над документом, разработчики постарались максимально учесть замечания, высказанные бизнесом.

Ряд положений прежней версии документа участники рынка называли фактически невыполнимыми. Кроме того, по оценке более чем 150 экспертов, соблюдение ключевых требований могло привести к удорожанию ИИ-проектов до 40%.

«Видим в законопроекте потенциал стать полезным инструментом для развития и применения ИИ. Регулирующие органы открыты к диалогу с отраслью — это позволяет дорабатывать проект документа, выстраивая долгосрочные правила с учётом баланса интересов заинтересованных сторон. Рассчитываем, что при дальнейшей работе этот баланс будет сохранён», — прокомментировали результаты корректировки в пресс-службе Яндекса.

Прежде всего изменились требования к национальным и суверенным моделям ИИ. В первоначальной версии законопроекта речь шла о полной локализации. В обновлённой редакции достаточно, чтобы разработчик был российским юридическим лицом и самостоятельно определял и изменял существенные характеристики модели.

«Критерии для отечественных ИИ-моделей не должны становиться дополнительными ограничениями для разработчиков, особенно с учётом высокой международной конкуренции и наличия открытых моделей на рынке. Именно на это было направлено большинство замечаний бизнеса, которые учли в ходе работы над законопроектом», — прокомментировали корректировку в Ассоциации больших данных.

Для использования ИИ-модели в госструктурах больше не требуется её включение в реестр доверенных моделей. Это требование также вызывало опасения у участников рынка: они считали, что реестр может стать «бутылочным горлышком» и затормозить внедрение ИИ. Теперь сфера применения доверенных моделей ограничена только объектами критической информационной инфраструктуры.

Требование уведомлять пользователей об использовании ИИ-сервисов сохранили только для госструктур. На коммерческий сектор оно больше не распространяется.

Из текста также убрали норму, которая обязывала сервисы с аудиторией более 500 тыс. человек хранить информацию о пользователях в течение трёх лет. Кроме того, сняты ограничения на трансграничную передачу данных ИИ. Ранее многие участники рынка расценивали это требование как фактический запрет на использование зарубежных ИИ-моделей.

Сняты и ограничения на использование открытых данных для обучения нейросетей. В прежних редакциях соответствующие формулировки были недостаточно чёткими.

Наконец, изменились требования к маркировке контента. Она должна быть машиночитаемой, но делать её различимой для людей не обязательно.

«Международная практика двигается к созданию стандартов машиночитаемой маркировки такого контента, но до определения универсальных правил ещё достаточно далеко. Поэтому случаи установления машиночитаемой маркировки ИИ-контента будут дополнительно определены правительством», — отметил один из источников издания.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!