Das Open-Source-Packprogramm 7-Zip enthält eine Sicherheitslücke. Gelingt eine Attacke, könnten Angreifer Schadcode ausführen. Die neue abgesicherten Version 18.05 schafft Abhilfe.
Im freien Packprogramm 7-Zip klafft eine Sicherheitslücke. Das davon ausgehende Risiko ist mit dem Bedrohungsgrad „hoch“eingestuft. Davor warnt das Center for Internet Security(CIS). Die 7-Zip-Entwickler haben die reparierte Ausgabe 18.05 veröffentlicht. Die Lücke (CVE-2018-10115) soll in allen vorigen Versionen vorhanden sein.
Da die ausführbaren Dateien 7zFM.exe, 7zG.exe, 7z.exe den Schutzmechanismus Adress Space Layout Randomization (ASLR) nicht innehaben, könnten Angreifer im Zuge der Decodierung eines Archives ansetzen und einen Speicherfehler auslösen. Das führt in der Regel dazu, dass ein Angreifer Schadcode ausführen kann – in diesem Fall mit den Rechten des Opfers. Wie ein Übergriff im Detail abläuft, ist derzeit nicht bekannt. ASLR ist eine gängige Technik, um Pufferüberläufe zu erschweren und derartige Angriffe einzudämmen. (des)
Quelle: Heise Security