Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Олег Иванов 06 Июня 2018 - 10:26

...

Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Вредоносные файлы архивов могут быть использованы злоумышленником для эксплуатации уязвимости, которая позволяет перезаписывать документы и данные, находящиеся в файловой системе компьютера. Эта же брешь может также привести к удаленному выполнению кода.

Проблема получила название «Zip Slip», ее обнаружили эксперты из Snyk, она затрагивает следующие форматы файлов: zip, .tar, .war, .cpio и .7z.

Баги были найдены в коде библиотек, написанных разработчиками Apache, Oracle и другими, что ставит под угрозу тысячи приложений. В настоящее время выпущены патчи библиотек, это значит, что разработчики продуктов, использующих небезопасный код, должны обновить свои программы.

В случае открытия пользователем вредоносного архива, который эксплуатирует данную брешь, атакующий может выполнить набор команд и перезаписать данные, фактически это позволит установить вредоносные программы в систему.

По словам исследователей из Snyk, ошибки присутствуют в коде, который распаковывает сжатые архивы. Если программа неверно обрабатывает имена файлов в архиве, киберпреступник могут установить свой путь для распаковки. При извлечении такого файла он перезапишет данные в том месте, куда его извлекут.

В случае атаки это поможет злоумышленнику скопировать файл в системный каталог или другое место, к которому у него нет обычного доступа. Таким образом, атакующий может заменять системные файлы, либо помещать файлы вредоносных сценариев в системные папки.

Эксперты опубликовали видео, доказывающее концепцию этой уязвимости:

Также специалисты опубликовали код Java, использующий уязвимую библиотеку:

1: Enumeration<ZipEntry>entries = zip.getEntries(); 
2: while(entries.hasMoreElements()){
3: ZipEntry e = entries.nextElement();
4: File f = new File(dir, e.getName());
5: InputStream input = zip.getInputStream(e);
6: IOUtils.copy(input, write(f));
7: }

Среди продуктов, использующих уязвимые библиотеки, есть такие, как платформа Google Cloud, набор программного обеспечения Oracle, Amazon CodePipeline, IBM DataPower, Alibaba JStorm и Twitter Heron.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Июня 2026 - 08:41

Корпорации

Касперский притормозил развитие «МойОфис»: импортозамещение не сработало

У российского офисного ПО продолжаются непростые времена. Глава «Лаборатории Касперского» Евгений Касперский заявил, что компания решила сократить объёмы поддержки развития «МойОфис», контрольный пакет которого находится под её управлением.

По словам Касперского, речь не идёт о закрытии проекта, однако актив переводится в режим медленного огня. Разработка и поддержка продуктов сохраняются, но уже не в тех масштабах, что раньше.

Причина проста: бизнес остаётся убыточным.

«Если говорить про ситуацию здесь и сейчас, то актив убыточен», — признал Касперский в интервью ТАСС на ПМЭФ.

Он также отметил, что не видит серьёзного экспортного потенциала у «МойОфис». По его словам, продукт слишком сильно ориентирован на российский рынок. Одной из ключевых задач для выхода за рубеж он назвал глубокую локализацию, в частности поддержку арабского языка, которая потребует дополнительных инвестиций и времени.

При этом основные надежды связывались именно с российским рынком и импортозамещением. Однако здесь ожидания не оправдались.

По мнению Касперского, полноценного импортозамещения в сегменте офисного ПО так и не произошло. Он объяснил это тем, что часть пользователей продолжает работать на пиратских версиях зарубежных продуктов, а часть использует схемы серого импорта программного обеспечения.

Несмотря на проблемы, говорить о полной заморозке проекта пока рано. В компании рассчитывают на дальнейшее развитие экосистемы и интеграцию продуктов «МойОфис» с собственной операционной системой.

Заявление прозвучало вскоре после сообщений о сокращениях в компании. Ранее стало известно, что «МойОфис» уведомил сотрудников об оптимизации штата. Финансовые показатели также выглядят тревожно: по итогам 2025 года чистый убыток разработчика вырос до 4 млрд рублей против 1,2 млрд рублей годом ранее.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!