1. 7-Zip, что это?
2. 7-Zip как ходячая дыра
3. Микропатч для CVE-2017-17969 и CVE-2018-5996
4. Основная проблема с 7-Zip
5. Приложение: Нестандартное поведение на сетевых дисках
6. Приложение 2: Используйте текущие версии

английский Многие пользователи используют инструмент 7-Zip. Изучив эту тему, я понял, что программа представляет собой серьезную угрозу безопасности. Поэтому я советую пользователям Tools 7-Zip: не используйте бесплатный инструмент 7-Zip и не изгоняйте его из своих систем. Дополнение: обратите внимание на дополнения в конце статьи - инструмент был пересмотрен в некоторых критических замечаниях.

7-Zip, что это?

Бесплатный инструмент 7-Zip - это менеджер архивов, который поддерживает не только архивы .zip, но и другие форматы упаковщиков Windows, такие как .rar, .arj или .lzh.

Признаюсь, что время от времени я использую переносную версию (ее устанавливать не нужно), поскольку она позволяет мне напрямую отображать содержимое файла .iso (образ CD или DVD) или файла .vhd (виртуальный диск без монтирования) , Распаковка пакетов обновлений Microsoft выполняется быстро с 7-Zip. И он поддерживает архивы, созданные платным WinRAR в формате rar.

Игорь Павлов предоставляет 7-Zip бесплатно, и в идеальном мире инструмент может быть отличной вещью. К сожалению, мы живем не в идеальном мире, а в мире, где также существуют вредоносные программы.

7-Zip как ходячая дыра

А в реальном мире, к сожалению, 7-Zip представляет собой серьезную угрозу безопасности: любой, кто использует 7-Zip для распаковки архивов из неизвестных источников, живет рискованным делом и в основном грубо халатен! На риск или почему опасность скрывается при распаковке, я ввожу несколько разделов ниже отдельно.

Но известно, что 7-Zip неоднократно подвергался уязвимостям. У меня недавно была запись в блоге 7-Zip с отверстиями для безопасности - обновление! сообщили об уязвимостях в этом инструменте и порекомендовали обновление. К сожалению, это не конец, потому что это идет еще дальше. Информация читателя блога указывает на этот комментарий к более фундаментальной проблеме. цитата:

Существуют программные пакеты, которые используют 7-Zip в качестве дополнительного инструмента. Например, во время обновления продукта (автоматическое обновление).

Даже если установлен самый последний Z-Zip, существует опасность, что в каталогах программ компьютера присутствуют устаревшие версии этого инструмента.

Итак, у нас огромная проблема. Возможно - я не проанализировал и не продумал это подробно - есть ли обходной путь? Потому что вчера я получил письмо от Across Security на 7-Zip. Они следят за моим блогом и продолжают получать сообщения по электронной почте всякий раз, когда они закрывают уязвимость в продукте, используя 0patch.

Микропатч для CVE-2017-17969 и CVE-2018-5996

В конкретном письме, связанном со мной, в упомянутом выше посте блога обсуждались уязвимости CVE-2017-17969 и CVE-2018-5996, которые существуют в более старых версиях 7-Zip. Вот выдержка из письма:

7-Zip уязвимостей (CVE-2017-17969 и CVE-2018-5996) в BornCity, и они считают, что это сторонний микропатч для устранения этих проблем в попытка улучшить способ устранения уязвимостей сегодня.

Основано на сообщении в блоге здесь 0patch разработал два исправления для вышеуказанных уязвимостей и описано здесь , Оба пробела закрыты в новой 7-Zip версии 18.01 - но 0patch использует микропатчи для переключения на более старые версии программного обеспечения. Эти 0 патчи могут укрепиться с программным обеспечением, установленным более старыми версиями 7-Zip (но эта информация не действительна с моей стороны!) - у меня просто нет времени копать, если и в каком созвездии вступают в силу микропатчи, если старые версии с другими Программное обеспечение попадает в систему - я передаю эстафету тем, кто заинтересован).

Основная проблема с 7-Zip

Давайте перейдем к основной проблеме 7-Zip и моей рекомендации пропустить этот инструмент. в комментарии здесь в блоге Все это затронуто, и, возможно, каждый не поймет, почему существует проблема безопасности с 7-Zip.

Признаюсь, когда я публикую блог 7-Zip с отверстиями для безопасности - обновление! написал, на самом деле что-то должно было позвонить мне. Но копейки не попали в мое письмо синонимично со мной - хотя на самом деле всю информацию поместил в блоге. Подсказка из кругов людей, которые обеспокоены безопасностью, и приведенный выше комментарий заставили меня написать этот текст здесь.

Давайте посмотрим под ковер. Первоначальная цель при использовании 7-Zip - распаковка архивных файлов. Проблема в том, что дыры в безопасности в 7-Zip могут быть использованы для размещения вредоносного кода в архивах. При распаковке речь идет о переполнении памяти, которое может быть неправильно использовано при выполнении кода - то, чего никто не ожидает от 7-Zip. Короче говоря, вы разворачиваете файл, чтобы проанализировать его содержимое (и, возможно, проверить его на наличие вредоносных программ). Но уже при разархивировании вредитель становится активным и манипулирует файлами, доступными под вашей учетной записью - не очень приятная идея.

Но у проблемы есть второе имя: Незнание со стороны разработчика 7-Zip. В вышеупомянутом сообщении в блоге 7-Zip с отверстиями для безопасности - обновление! Речь шла в первую очередь о недостатках продукта (которые исправлены). Но камнем преткновения между прочим является текст в следующих предложениях:

В своем блоге Дейв отмечает, что двоичные файлы 7-Zip для Windows были переведены без флагов компилятора / NXCOMPAT и / DYNAMICBASE (Примечание: строго говоря, это параметры компоновщика, который связывает двоичный файл). Это означает, что 7-Zip работает на всех системах Windows без ASLR. И DEP включен только в 64-битных системах Windows и в 32-битной версии Windows 10.

(Источник: landave.io)

Там вы можете видеть, что DEP был постоянно деактивирован. Кроме того, 7-Zip компилируется без флага / GS, поэтому мониторинг стека отсутствует.

Для читателей блогов, которые не совсем в теме: уже много лет известно, что методы укрепляют программное обеспечение при разработке опций компилятора / компоновщика против уязвимостей. Хотя компилятор / компоновщик не может устранить уязвимости, содержащиеся в коде. Но, как разработчик, вы можете убедиться, что эту уязвимость нет или она очень трудна для использования через вредоносные программы, переполнения памяти и так далее.

Разработчик 7-Zip годами отказывался от использования этих опций, упомянутых выше. Обнаружитель вышеупомянутых уязвимостей обсудил эту проблему с Игорем Павловым (разработчик 7-Zip). Он пытался убедить Павлова активировать упомянутые флаги. Это должно быть обычной практикой в ​​современных программных продуктах, так как злоумышленникам будет труднее использовать уязвимости.

Павлов, однако, отказался активировать / DYNAMICBASE. Предыстория: согласно исследователю вышеупомянутых уязвимостей, он предпочитает создавать двоичные файлы без таблицы перемещения для достижения минимального двоичного размера. Кроме того, он не хочет включать / GS, потому что это может повлиять на время выполнения и размер двоичного файла. И есть информация, что Павлов хочет попробовать активировать хотя бы флаг / NXCOMPAT для следующей версии 7-Zip. Похоже, что он в настоящее время не включен, потому что 7-Zip связан с устаревшим компоновщиком, который не поддерживает флаг.

Скажем: автор инструмента использует некоторые устаревшие инструменты разработки и хочет сэкономить несколько байтов в инструменте в ущерб безопасности. У меня есть другая информация из кругов безопасности, которую я не могу опубликовать. С тех пор Павлов безуспешно с 2015 года указывал на последствия своих действий и возможные решения, но это было бесплодно. Можно найти это под сопротивлением консультирования. С этих точек зрения можно только догадываться: держитесь подальше от этого инструмента, пока его разработка осуществляется таким образом, так сказать «с помощью плоскогубцев».

Дополнение: поскольку это было востребовано, давайте посмотрим, как выглядит время - может быть, я завершу все это. Вы можете многое сделать с помощью встроенных ресурсов - и с помощью команд контекстного меню и сценариев это даже идет с комфортом.

Приложение: Нестандартное поведение на сетевых дисках

Иногда я также веду блог на administrator.de. К моему вкладу Риск безопасности: суть с 7-Zip пришел интересный отзыв для администраторов. В Windows для Windows RDS / Terminal Server вы можете использовать объект групповой политики, чтобы указать, какие диски разрешено видеть пользователям. 7-Zip не придерживается таких объектов групповой политики, но позволяет просматривать все диски (даже в скрытом) в диалоговых окнах « Сохранить» и «Открыть».

Приложение 2: Используйте текущие версии

Статья написана с начала 2018 года. Между тем, более новые версии 7-Zip, вероятно, были созданы с использованием современных компиляторов и соответствующих опций компилятора, поэтому риски, описанные выше при отказе от DEP и ASLR в текущих версиях 7-Zip, больше не должны существовать. Тем не менее, вы должны убедиться, что 7-Zip обновлен. И еще один совет: чтобы не стать жертвой хакерской атаки DLL на установщик, я рекомендую вам обойтись без установщиков .exe и использовать вместо них установщики .msi.

Статьи по теме:
7-Zip с отверстиями для безопасности - обновление!
Универсальный инструмент 7-Zip портативный

Похожие

Комментарии