Pesquisadores de segurança da empresa britânica Snyk divulgaram detalhes sobre a vulnerabilidade Zip Slip, que afeta compactadores de arquivos e milhares de outros projetos para diversas plataformas.
Esta vulnerabilidade pode ser explorada por atacantes para permitir a execução de códigos maliciosos nos computadores.
Vulnerabilidade Zip Slip
De acordo com os pesquisadores, a vulnerabilidade é um problema na forma como codificadores, plugins e bibliotecas implementaram o processo de descompactação de arquivos.
Diversos formatos, incluindo .tar, .jar, .war, .cpio, .apk, .rar e .7z são afetados.
Os pesquisadores dizem que a vulnerabilidade Zip Slip é a combinação de dois problemas – “arbitrary file overwrite” e “directory traversal” – que podem levar a situações onde um atacante pode descompactar arquivos fora do caminho definido e assim sobrescrever arquivos críticos como bibliotecas do próprio sistema operacional ou arquivos de configuração de servidores.
Os dois componentes necessários para explorar a vulnerabilidade são um arquivo compactado malicioso e o código de extração que não executa a verificação de validação.
Os pesquisadores da Synk descobriram a vulnerabilidade em abril e desde então eles vêm trabalhando em conjunto com os mantenedores de diversas bibliotecas com código aberto vulneráveis.
A lista publicada pela Synk com as bibliotecas afetadas pode ser encontrada no GitHub.
Para ajudar os desenvolvedores a entender melhor a vulnerabilidade Zip Slip e verificar se seus aplicativos são vulneráveis, os pesquisadores publicaram aqui a documentação técnica com mais detalhes sobre ela.
Eles também publicaram arquivos “prova-de-conceito” que os desenvolvedores podem suar para testar a presença da vulnerabilidade. Um vídeo de demonstração pode ser visto abaixo:
O post Vulnerabilidade Zip Slip afeta compactadores de arquivos e outros projetos apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br