Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Олег Иванов 06 Июня 2018 - 10:26

...

Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Вредоносные файлы архивов могут быть использованы злоумышленником для эксплуатации уязвимости, которая позволяет перезаписывать документы и данные, находящиеся в файловой системе компьютера. Эта же брешь может также привести к удаленному выполнению кода.

Проблема получила название «Zip Slip», ее обнаружили эксперты из Snyk, она затрагивает следующие форматы файлов: zip, .tar, .war, .cpio и .7z.

Баги были найдены в коде библиотек, написанных разработчиками Apache, Oracle и другими, что ставит под угрозу тысячи приложений. В настоящее время выпущены патчи библиотек, это значит, что разработчики продуктов, использующих небезопасный код, должны обновить свои программы.

В случае открытия пользователем вредоносного архива, который эксплуатирует данную брешь, атакующий может выполнить набор команд и перезаписать данные, фактически это позволит установить вредоносные программы в систему.

По словам исследователей из Snyk, ошибки присутствуют в коде, который распаковывает сжатые архивы. Если программа неверно обрабатывает имена файлов в архиве, киберпреступник могут установить свой путь для распаковки. При извлечении такого файла он перезапишет данные в том месте, куда его извлекут.

В случае атаки это поможет злоумышленнику скопировать файл в системный каталог или другое место, к которому у него нет обычного доступа. Таким образом, атакующий может заменять системные файлы, либо помещать файлы вредоносных сценариев в системные папки.

Эксперты опубликовали видео, доказывающее концепцию этой уязвимости:

Также специалисты опубликовали код Java, использующий уязвимую библиотеку:

1: Enumeration<ZipEntry>entries = zip.getEntries(); 
2: while(entries.hasMoreElements()){
3: ZipEntry e = entries.nextElement();
4: File f = new File(dir, e.getName());
5: InputStream input = zip.getInputStream(e);
6: IOUtils.copy(input, write(f));
7: }

Среди продуктов, использующих уязвимые библиотеки, есть такие, как платформа Google Cloud, набор программного обеспечения Oracle, Amazon CodePipeline, IBM DataPower, Alibaba JStorm и Twitter Heron.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Яков Шпунт 17 Апреля 2026 - 14:59

Соответствие законодательству РФ Общее

Росавиация предложила ограничить использование пауэрбанков на борту

Росавиация рекомендовала Минтрансу законодательно ограничить использование пауэрбанков на борту самолётов во время полёта. Такие предложения появились по итогам расследования инцидента с возгоранием портативного аккумулятора, произошедшего в феврале.

Отчёт о расследовании инцидента на рейсе «Уральских авиалиний» из Екатеринбурга в Стамбул, где в феврале загорелся пауэрбанк и потребовалась вынужденная посадка, оказался в распоряжении «Известий».

Подобные случаи происходили и ранее: только летом 2025 года было зафиксировано два таких инцидента. В документе отмечается, что в России отсутствует полноценная нормативная база, регулирующая провоз портативных аккумуляторов в багаже и ручной клади.

Этот пробел Росавиация предлагает устранить, введя ограничения или даже полный запрет на использование портативных зарядных устройств на борту воздушных судов в течение всего полёта.

Как сообщили в пресс-службе «Уральских авиалиний» в ответ на запрос «Известий», авиакомпания уже внесла соответствующие изменения в правила перевозки. Аналогичные ответы издание получило от S7 и «Аэрофлота». В «Аэрофлоте» также отметили, что приняли нормы, рекомендованные Международной ассоциацией воздушного транспорта (IATA).

Согласно правилам «Уральских авиалиний», такие устройства нельзя заряжать от бортовой сети самолёта и использовать во время полёта. Кроме того, установлены ограничения по содержанию лития — не более 2 г — и по удельной мощности, которая не должна превышать 100 Вт/ч. В рекомендациях IATA также указано, что подобные устройства нельзя хранить в ручной клади, размещённой на багажных полках.

Ограничения на провоз пауэрбанков уже ввели и многие зарубежные авиакомпании. Среди них — Lufthansa Group, AJet, Azal, Emirates, Pegasus, El Al и другие. Такие меры принимались после расследования инцидентов с возгоранием портативных аккумуляторов во время полётов.

«Рано или поздно ограничительные меры придётся принять, поскольку возможная угроза и её последствия могут оказаться совершенно несопоставимыми с теми неудобствами, которые создают запреты, — прокомментировал инициативу Росавиации председатель Общероссийского объединения пассажиров Илья Зотов. — В ряде стран, например в Китае, подобные ограничения на использование портативных аккумуляторов уже действуют. При этом существенного дискомфорта для пассажиров они не создают, поскольку на борту доступны альтернативные способы зарядки, включая розетки и USB-порты. Таким образом, каких-либо серьёзных сложностей для пассажиров не возникает».

Глава Общественной потребительской инициативы Олег Павлов, напротив, назвал запрет избыточной мерой. По его мнению, более разумным решением стало бы ужесточение сертификации таких устройств с обязательным подтверждением их безопасности.

Между тем сама Росавиация позднее уточнила свою позицию по поводу провоза пауэрбанков:

«Ограничения на провоз таких устройств уже существуют — они регламентируются как международными требованиями в области безопасной перевозки опасных грузов по воздуху, так и правилами авиакомпаний».

В ведомстве также подчеркнули, что рекомендации Уральского МТУ, на которые ссылались «Известия», не носят обязательного характера. Оснований для полного запрета портативных аккумуляторов в Росавиации в настоящее время не видят.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!