Sigurnosna ranjivost identificirana kao CVE-2024-11477 (CVSS ocjena 7.8) otkrivena u 7-Zipu, popularnom alatu za kompresiju datoteka, omogućuje udaljenim napadačima izvršavanje zlonamjernog kôda putem posebno oblikovanih arhiva.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:

Ova ranjivost omogućuje udaljenim napadačima izvršavanje proizvoljnog kôda na ranjivim verzijama 7-Zipa za čije iskorištavanje je potrebna interakcija s bibliotekom, ali vektori napada mogu varirati ovisno o implementaciji.

Specifičan problem leži u implementaciji Zstandard formata dekompresije. Problem nastaje zbog nedostatka pravilne validacije podataka koje unosi korisnik, što može dovesti do prelijevanja cijelog broja (engl. integer underflow) prije pisanja u memoriju. Napadač može iskoristiti ovu ranjivost za izvršavanje kôda u kontekstu trenutno aktivnog procesa.

Zahvaćeni proizvodi:

Ranjivost je ispravljena u verziji 7-Zip 24.07.

Preporuke:

Preporučuje se nadogradnja ranjivog softvera na najnoviju dostupnu ispravljenu verziju.

Više informacija moguće je pročitati na poveznicama u nastavku:

[inicijalna objava: 26.11.2024 -11:14]