|
广泛使用的归档库中的严重缺陷,使许多项目处于风险中,远程控制软件,灰鸽子下载
在libarchive输入验证漏洞可能导致远程代码执行
在一个世界上,任何新的软件项目是建立在很大一部分上现有的第三方代码,发现和修补流行的开源库的漏洞是至关重要的,以建立可靠和安全的应用。
例如,在libarchive三严重缺陷,由思科公司的该组研究人员最近发现,可能会影响到大量的软件产品。
libarchive是一个开源库首先创造了FreeBSD,但自从移植到所有主要的操作系统。它提供了实时访问文件压缩的各种算法,包括焦油、百富、CPIO,ISO9660,ZIP,RAR,lha/lzh,驾驶室和7-Zip。
图书馆是由文件和软件包管理器包含在许多Linux和BSD系统的使用,以及组件和工具的OS X操作系统和Chrome OS。开发人员也可以包括在他们自己的项目中的库的代码,所以很难知道有多少其他应用程序或固件包包含它。
思科塔洛斯发现整数溢出,缓冲区溢出的libarchive代码处理7-Zip堆溢出,群木和RAR文件,分别。
这些都是内存损坏错误,可能会导致任意代码执行,并可以通过专门制作的文件,以应用程序的应用程序,包含脆弱的代码。
“当漏洞是一个软件如libarchive发现,许多第三方程序依赖,和束libarchive受到影响,”该研究人员说,星期二在一篇博客文章。”这些都是被称为常见的模式故障,这使攻击者能够使用一个单一的攻击妥协许多不同的程序/系统。鼓励用户尽快修补所有相关的程序。”
的libarchive维护人员已经发布了补丁的这些缺陷,但它可能会采取他们涓滴通过所有受影响的项目很长一段时间。这是因为软件开发人员一般在第三方代码中的漏洞跟踪漏洞,他们使用和导入可用的补丁。
过去的研究表明,许多软件开发公司和公司,创建自定义软件的内部甚至没有一个清晰的图片,其中第三方组件和库已被用于在他们的项目中,更不用说他们的版本。
复杂的数据格式的处理已经导致了许多关键的输入验证漏洞像思科塔洛斯在libarchive找到的。这将不会是最后一次,当这样的缺陷被发现在广泛使用的库和组件。 |
|