Według ostatnich doniesień, w powszechnie używanych bibliotekach ZIP Swift i Flutter odkryto szereg luk w zabezpieczeniach. Pakiety te są wykorzystywane przez wielu programistów i aplikacje, co znacznie zwiększa potencjalną powierzchnię ataku.
Deweloperzy wielu aplikacji używają tych bibliotek do tworzenia, otwierania czy przetwarzania skompresowanych plików. Jak udowodnili badacze zabezpieczeń, złośliwy pakiet ZIP może poważnie wpłynąć na aplikację i zagrozić jej bezpieczeństwu, jeżeli używa ona podatnych bibliotek. Podatne na ataki są: Archive, Flutter_archive, ZIPFoundation, ZIP oraz ZIPArchive.
Więcej informacji na temat podatności można odnaleźć pod linkami:
https://nvd.nist.gov/vuln/detail/CVE-2023-39139
https://nvd.nist.gov/vuln/detail/CVE-2023-39138
https://nvd.nist.gov/vuln/detail/CVE-2023-39137
https://nvd.nist.gov/vuln/detail/CVE-2022-39135
https://cve.report/CVE-2023-39136
Nie tylko ZIP ma problemy
W WinRAR, popularnym narzędziu do archiwizacji plików dla systemu Windows używanym przez miliony użytkowników, niedawno naprawiono lukę o wysokim stopniu zagrożenia, która daje atakującym możliwość wykonania dowolnego polecenia na komputerze po tym jak ofiara otworzy specjalnie spreparowane archiwum. Dziura została zidentyfikowana jako CVE-2023-40477 i może umożliwić zdalnemu atakującemu wykonanie dowolnego kodu w systemie docelowym po otwarciu specjalnie przygotowanego pliku RAR.
Z praktycznego punktu widzenia oszukanie użytkowników do wykonania wymaganej czynności nie powinno być zbyt trudne, biorąc pod uwagę iż plik rar nie jest rozpoznawany jako plik wykonywalny. Większość nieświadomych osób, będzie pewna iż otwarcie archiwum jest tak samo nieszkodliwe jak otworzenie pliku tekstowego.
Luka została odkryta przez badacza “goodbyeselene” z Zero Day Initiative, który zgłosił ją dostawcy, firmie RARLAB, 8 czerwca 2023 roku. RARLAB wydał WinRAR w wersji 6.23 2 sierpnia 2023 r., skutecznie naprawić błąd zgłoszony jako CVE-2023-40477.
Użytkownikom narzędzi do archiwizacji zalecamy oczywiście natychmiastowe zastosowanie dostępnych aktualizacji zabezpieczeń.