Post Description

https://www.security.nl/posting/866544/Beveiligingslek+in+7-Zip+maakt+remote+code+execution+mogelijk

// https://www.7-zip.org/ //Je kunt hem hier ook zelf downloaden //

Beveiligingslek in 7-Zip maakt remote code execution mogelijk
donderdag 21 november 2024, 11:33 door Redactie, 5 reacties
Een beveiligingslek in de populaire archiveringssoftware 7-Zip maakt remote code execution mogelijk. 
Op 19 juni van dit jaar verscheen een versie waarin het probleem is verholpen, maar in de release notes wordt het bestaan van de kwetsbaarheid (CVE-2024-11477) nergens vermeld. 
Details over de kwetsbaarheid zijn nu door securitybedrijf ZDI openbaar gemaakt. Het bedrijf waarschuwde 7-Zip op 12 juni voor het probleem.
De kwetsbaarheid bevindt zich in de implementatie van het Zstandard (ZSTD) compressie-algoritme. Via het algoritme is het mogelijk om bestanden te comprimeren. 
De manier waarop 7-Zip dit algoritme had geïmplementeerd zorgde ervoor dat gebruikersinvoer niet goed werd gevalideerd, wat bij het uitpakken van een archief kan leiden tot een 'Integer Underflow'. 
Een aanvaller kan de kwetsbaarheid gebruiken om code in de context van het huidige proces uit te voeren.
Het ZDI stelt dat er afhankelijk van de implementatie verschillende aanvalsvectoren zijn waarop een aanvaller misbruik van het beveiligingslek kan maken, 
maar de meest voor de hand liggende is een doelwit een malafide archiefbestand laten openen. 
De kwetsbaarheid is verholpen in 7-Zip 24.07. 
De release notes van deze versie laten alleen weten dat er een 'bug' is gefixt waardoor 7-Zip bij sommige incorrecte ZSTD-archieven zou kunnen crashen. 
Nergens wordt echter het CVE-nummer of het bestaan van een kwetsbaarheid vermeld.

// Meer handige informatie over ICT op https://www.security.nl/ //

Andere versies [4]
Versienaam Versie-updatedatum 
7-Zip 24.09 30 november  2024
7-Zip 23.01 20 juni  2023
7-Zip 22.01 16 juli  2022
7-Zip 22.00     Finale 20 juni 2022