Beveiligingslek in 7-Zip maakt remote code execution mogelijk

[Captain Kirk]

Een beveiligingslek in de populaire archiveringssoftware 7-Zip maakt remote code execution mogelijk. Op 19 juni van dit jaar verscheen een versie waarin het probleem is verholpen, maar in de release notes wordt het bestaan van de kwetsbaarheid (CVE-2024-11477) nergens vermeld. Details over de kwetsbaarheid zijn nu door securitybedrijf ZDI openbaar gemaakt. Het bedrijf waarschuwde 7-Zip op 12 juni voor het probleem.

De kwetsbaarheid bevindt zich in de implementatie van het Zstandard (ZSTD) compressie-algoritme. Via het algoritme is het mogelijk om bestanden te comprimeren. De manier waarop 7-Zip dit algoritme had geïmplementeerd zorgde ervoor dat gebruikersinvoer niet goed werd gevalideerd, wat bij het uitpakken van een archief kan leiden tot een 'Integer Underflow'. Een aanvaller kan de kwetsbaarheid gebruiken om code in de context van het huidige proces uit te voeren.

Het ZDI stelt dat er afhankelijk van de implementatie verschillende aanvalsvectoren zijn waarop een aanvaller misbruik van het beveiligingslek kan maken, maar de meest voor de hand liggende is een doelwit een malafide archiefbestand laten openen. De kwetsbaarheid is verholpen in 7-Zip 24.07. De release notes van deze versie laten alleen weten dat er een 'bug' is gefixt waardoor 7-Zip bij sommige incorrecte ZSTD-archieven zou kunnen crashen. Nergens wordt echter het CVE-nummer of het bestaan van een kwetsbaarheid vermeld.

 

bron: https://www.security.nl