Výzkumníci varují před zranitelností oblíbeného komprimačního programu: uživatelé mají jednat rychle

Jiří Palyza 30.08.2023

V programu na komprimaci souborů a složek byla objevena bezpečnostní zranitelnost. Poskytovatel vyzývá uživatele, aby co nejdříve instalovali aktualizaci.

Kapitoly článku

Naléhavě nutná aktualizace: obsahuje nápravu
Potřebuje to vlastní iniciativu: aktualizace se instaluje ručně
Předchozí incidenty byly varováním: zranitelnosti v programu WinRAR

Experti ze Zero Day Initiative bijou na poplach. V oblíbeném a široce používaném komprimačním nástroji objevili dvě bezpečnostní chyby, které mohou být zneužity hackerskými útoky. Jedna ze zranitelností dovoluje souborům obrazů SQFS zapisovat mimo přidělené oblasti paměťového prostoru.

Dochází k tomu z důvodu nedostatečného ověření přenášených dat. Aby došlo ke zneužité této díry, hackeři uživatele manipulují k otevření připravených škodlivých souborů. To je samozřejmě velmi riziková akce. Zranitelnost je označena kódem CVE-2023-40481, CVSS 7.8, a klasifikována mírou rizika "vysoké".

Naléhavě nutná aktualizace: obsahuje nápravu

Obrazovka programu 7-Zip — Uživatelé komprimačního nástroje 7-Zip by měli urychleně aktualizovat, a tím zacelit bezpečnostní mezery. Aktualizovanou verzi najdou na stránkách poskytovatele.

Další kritická chyba se týká zpracování archivů 7-Zip. To může vyústit k chybě podtečení celého čísla, protože v kódu není dostatečně ošetřena a filtrována zpracovávaná hodnota. Připravené archivy mohou tuto zranitelnost zneužít a potenciálně způsobit další škody. Tato bezpečnostní chyba má označení CVE-2023-31102, CVSS 7.8, a klasifikaci rizika úrovní "vysoké".

Mohlo by vás zajímat

Nebezpečná chyba v oblíbeném programu: máte ho ve svém počítači také?

Bezpečnost

Dobrou zprávou je, že ve verzi 7-Zip 23.00 jsou už tyto bezpečnostní zranitelnosti odstraněny. Pokud ale chcete mít jistotu, je lepší aktualizovat rovnou na nejnovější verzi 23.01, která byla uvolněna v červnu a je k dispozici na oficiální stránce poskytovatele.

Potřebuje to vlastní iniciativu: aktualizace se instaluje ručně

Pokud patříte k uživatelům nástroje 7-Zip je dobré vědět, že tento software nemá funkci automatické aktualizace. Nedá se spustit ani ručně z prostředí programu. Uživatel si musí sám instalační balíček stáhnout, a poté aktualizaci spustit.

V Linuxu je instalace jednodušší, protože správa softwaru příslušné distribuce s vyhledáním a instalací aktualizací pomůže.

Předchozí incidenty byly varováním: zranitelnosti v programu WinRAR

Nejedná se o první bezpečnostní incident tohoto druhu: nedávno byly odhaleny bezpečnostní chyby v oblíbeném archivačním programu WinRAR, které útočníkům umožňovaly vložit škodlivý kód. Nejnovější události zdůrazňují potřebu pravidelné aktualizace softwaru pro zajištění osobní bezpečnosti.

Zdroj: Zero Day Initiative