با توجه به اینکه نرم افزار 7Zip یکی از محبوبترین نرمافزارهای فشردهسازی فایلهای حجیم است که به صورت Open Source ارائه می گردد، اما به تازگی معایب و نقایص آن موجب اجرای کدهای دلخواه در هنگام ایجاد فایل، در فرآیندهای استفاده از کتابخانههای مختص این نرم افزار شده است.
دو آسیب پذیری شناسایی شده در 7Zip می تواند بسیاری از محصولات نرمافزاری و تجهیزاتی که از آرشیوبندی فایلهایOpen-Source به صورت Bundle استفاده میکنند، را در معرض خطر قرار دهد.
آسیبپذیری خواندن خارج از محدوده یا Out-of-Bounds Read و آسیب پذیری سرریز پشته یا Heap Overflow، معایبی میباشند که توسط محققان تیم امنیت Talos درسیسکو شناسایی شدند؛ و به تازگی در نسخه جدید این نرمافزار یعنی 7Zip 16 این دو آسیب پذیری اصلاح شدهاند.
نرمافزار 7Zip، دارای قابلیت Pack و Unpack نمودن فایلها با استفاده از بسیاری از فرمتهای آرشیو مانند فرمت 7Zمیباشد که کارایی بیشتری نیز نسبت به فرمت 7Zip دارد. این نرمافزار با دارا بودن ماهیتOpen Source و تطبیقپذیری، به یک کتابخانه جالب توجه تبدیل میشود که در سایر پروژههای نرمافزاری نیز جهت پردازش و برقراری ارتباط با فایلهای آرشیو مورد استفاده قرار میگیرد.
تحقیقات قبلی بیانگر آن است که اکثرDeveloperها، عملکرد ضعیفی در زمینه پیگیری آسیبپذیریها در کدهای Third-Party داشته و به ندرت کتابخانههای مورد استفاده در پروژههای خود را به روزرسانی مینمایند.
محققان Talos اظهار داشتند که 7Zip در تمامی پلتفرمهای اصلی پشتیبانی شده و در حال حاضر یکی از متداولترین ابزار آرشیو مورد استفاده به شمار میرود، بنابراین اطلاع از این که چه طیف وسیعی از برنامهها و تجهیزات تحت تاثیر قرار میگیرند، مسلما برای کاربران عجیب خواهد بود.
جستجو در گوگل نشان میدهد که 7Zip در بسیاری از پروژههای نرمافزاری از قبیل آنتیویروسها و تجهیزات امنیتی به کار میرود و احتمال میرود که بسیاری از برنامههای سفارشی شرکتها نیز از آن استفاده کرده باشند.
آسیبپذیری Out-of-Bound Read تحت عنوان CVE-2016-2335 ازکنترل و مدیریت فایلهای UDF یاUniversal Disk Format توسط 7Zip ناشی میگردد، در حالی که شرایط Heap Overflow یا CVE-2016-2334 زمانی رخ میدهد که فایلهای فشردهی Zlib کنترل میگردند.
Attackerها با استفاده از این مشکلها، فایلهای دستکاریشدهی خاصی را در این فرمتها ایجاد نموده و آنها را به نحوی ارائه مینماید که باعث شود کد آسیبپذیر 7Zip، آنها را پردازش نماید. بنابراین به شدت توصیه میشود که نرم افزار 7Zip خود را به به نسخه ی 7Zip 16 بهروزرسانی نمایید تا از حملهی این Attackerها در امان باشید.
