Internet

Una vulnerabilità in 7zip apre le porte all'esecuzione di codice arbitrario

2024
Una vulnerabilità in 7zip apre le porte all'esecuzione di codice arbitrario

Sommario:

Anonim

Una vulnerabilità ad alto rischio è stata rilevata in 7zip, uno strumento gratuito di archiviazione e compressione dei file ampiamente utilizzato in tutto il mondo. È una vulnerabilità che consente l'esecuzione di codice arbitrario, per ottenere un elevato livello di privilegi.

Grave vulnerabilità in 7zip

Questa vulnerabilità in 7zip potrebbe consentire agli utenti malintenzionati di installare programmi, visualizzare, modificare ed eliminare i dati sul sistema o creare nuovi account utente con un livello massimo di privilegi, che darebbe loro pieno accesso al sistema. Questo exploit è stato battezzato CVE-2018-10115, per fortuna il creatore dell'applicazione ha già rilasciato una nuova versione senza problemi.

Ti consigliamo di leggere il nostro post su Otto nuove vulnerabilità rilevate nei processori Intel

In 7-Zip è stata rilevata una vulnerabilità che potrebbe consentire l'esecuzione di codice arbitrario. Il metodo NArchive:: NRar:: CHandler:: Extract in CPP / 7zip / Archive / Rar / RarHandler.cpp esegue la decodifica dei dati dei file utilizzando uno stato ampiamente non inizializzato. Questo stato insieme alla mancanza di casualità di progettazione dello spazio degli indirizzi (ASLR) nei file eseguibili principali (7zFM.exe, 7zG.exe, 7z.exe) può causare il danneggiamento della memoria che porta all'esecuzione di codice arbitrario.

Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire l'esecuzione di codice arbitrario. A seconda dei privilegi associati all'utente, un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi. Gli utenti i cui account sono configurati per avere un minor numero di diritti utente sul sistema possono essere meno colpiti rispetto a quelli che operano con diritti di amministratore.

Questa versione priva del problema, è stata rilasciata il 30 aprile ed è numerata il 18.05, tutte le precedenti sono vulnerabili, quindi si consiglia vivamente di aggiornare il programma all'ultima versione disponibile.

Carattere overclock3d

Scoperto un grave difetto in un codice di esecuzione di Windows

Scoperto un grave difetto in un codice di esecuzione di Windows

Scoperto un grave difetto in un codice di esecuzione di Windows. I ricercatori di Google Project Zero scoprono un grave difetto.

Netspectre è l'ultima vulnerabilità legata all'esecuzione speculativa

Netspectre è l'ultima vulnerabilità legata all'esecuzione speculativa

Il termine Spettro si riferisce a una famiglia di vulnerabilità riscontrate nei processori moderni, con Intel la più colpita. Ricercatori di sicurezza dell'Università di Tecnologia di Graz hanno scoperto NetSpectre, un nuovo exploit completamente basato sul web.

Kaspersky apre il codice per riconquistare la fiducia degli utenti

Kaspersky apre il codice per riconquistare la fiducia degli utenti

Kaspersky apre il suo codice per riconquistare la fiducia degli utenti. Ulteriori informazioni sulla decisione dell'azienda di sicurezza russa.

Internet

Scelta dell'editore

HTC sta perdendo interesse per Windows Phone?

HTC sta perdendo interesse per Windows Phone?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Immagini di quello che potrebbe essere il nuovo Nokia Lumia EOS

Immagini di quello che potrebbe essere il nuovo Nokia Lumia EOS

2024
Dispositivi Build 2013: in attesa dei produttori

Dispositivi Build 2013: in attesa dei produttori

2024
Back to top button