Ontwikkelaar 7-Zip ontkent aanwezigheid van ACE-kwetsbaarheid

[Captain Kirk]

Er is geen ACE-kwetsbaarheid in het populaire archiveringsprogramma 7-Zip aanwezig zoals op X wordt beweerd, zo stelt ontwikkelaar Igor Pavlov. Eerder deze week verscheen op X een bericht van een account met de naam 'NSA_Employee39'. Het account claimde dat er een onbekende ACE-kwetsbaarheid in 7-Zip aanwezig is en wees daarbij naar een zogenaamde exploit.

Zowel experts als Pavlov stellen dat de geclaimde kwetsbaarheid niet echt is. Volgens de 7-Zip-ontwikkelaar gaat het om een 'fake exploit' gegenereerd door een 'AI'. Het is dan ook onduidelijk wat de vermeende kwetsbaarheid is. ACE is een bestandstype voor het comprimeren van data. In het verleden zijn er kwetsbaarheden in het ACE-compressieformaat gevonden en gebruikt bij aanvallen. Dat was echter tegen het archiveringsprogramma WinRAR. Het openen van een malafide ACE-bestand zorgde ervoor dat een aanvaller malafide code op het systeem van gebruikers kon plaatsen.

Vorige maand liet de maintainer van het veelgebruikte curl-project weten dat hij geregeld door 'AI' verzonnen bugmeldingen ontvangt. 7-Zip kwam vorig jaar nog in het nieuws omdat het stilletjes een buffer overflow-kwetsbaarheid en ander beveiligingslek in het programma was gedicht, zonder dit te melden in de releasenotes of op andere manier aan gebruikers te laten weten.

 

bron: https://www.security.nl