Lỗi an ninh trong thư viện nén file ảnh hưởng tới những ứng dụng khác .

Một loạt những lỗi an ninh trong Libarchive , Toolkit nén nguồn mở , đã ảnh hưởng tới những ứng dụng khác đang sử dụng thư viện này như Debian Linux , FreeBSD và những công cụ nén file khác .

 

Thư viện này được tạo ra trong năm 2004 cho dự án FreeBSD , nhưng những tính năng mạnh mẽ của nó đã được nhiều nhà phát triển để ý tới . Các nhà phát triển thích dùng thư viện Libarchive có thể cho phép truy cập theo thời gian thực tới nhiều định dạng file nén như : tar , 7z , zip , cpio , pax , rar , cab …

Đội ngũ Cisco Talos thông báo đã làm việc với đội ngũ phát triển Libarchive để vá những lỗi an ninh nghiêm trong trên trong thư viện của họ . Tin tặc chỉ cần gửi tới một file nén dạng ZIP độc hại nếu người dùng mở ra là tin tặc đã có thể thực thi được mã độc trong hệ thống  bị ảnh hưởng .

Cisco cho biết họ đã tìm thấy lỗi Interger-Overflow trong cách Libarchive điều khiển những file 7-Zip (CVE-2016-4300) , lỗi Buffer-Overflow trong những file Mtree (CVE-2016-4301) , lỗi Heap-Overflow trong những file RAR (CVE-2016-4302) . Tất cả những lỗi này đều cho phép tin tặc thực thi những mã độc hại từ xa .

Mặc dù những lỗi này đã được vá nhưng phải chờ những nhà phát triển đưa ra bản cập nhật cho ứng dụng của mình để sửa chữa lỗi này . Thư viện của Libarchive đã được vá có phiên bản 3.2.1 .

Từ tháng Năm , Cisco đã hỗ trợ 7-Zip sửa các lỗi này trong phần mềm của mình .