Ряд уязвимостей дает злоумышленнику возможность скомпрометировать целевую систему и выполнить произвольный код или вызвать отказ в обслуживании. В категорию риска попадают все устройства, на которых установлены уязвимые версии 7-Zip.
Первая проблема CVE-2016-2335 существует из-за ошибки при обработке UDF-файлов. С помощью специально сформированной записи атакующий может выполнить произвольный код на целевой системе. Вторая уязвимость CVE-2016-2334 существует в функции Archive::NHfs::CHandler::ExtractZlibFile. Ее эксплуатация позволяет вызвать переполнение буфера и, как следствие, привести к отказу в обслуживании.
Уязвимости в файловом архиваторе 7-Zip были обнаружены исследователями из Cisco Talos. Всю необходимую информацию касательно своей находки эксперты уже предоставили разработчикам 7-Zip, после чего была выпущена исправленная версия 7-Zip 16.00. Специалисты рекомендуют как можно скорее установить обновление.
Источник http://www.securitylab.ru/
