7-Zip sıkıştırma aracı, İnternet saldırganlarının değiştirilmiş arşivleri kullanarak kötü amaçlı kod yerleştirmesine ve yürütmesine olanak tanıyan bir güvenlik açığı içerir. Bir yazılım güncellemesi mevcut. 7-Zip kullanıcılarının harekete geçerek kendilerinin indirip kurması gerekiyor.
Duyuru
Trend Micro'nun Sıfır Gün Girişimi Güvenlik Danışmanlığı, güvenlik açığının ana hatlarını çiziyor. Sonuç olarak, Zstandard'da sıkıştırılmış bir dosyayı açarken, kod belleğe yazılmadan önce bir tamsayı taşması meydana gelebilir. Kusur, kullanıcı tarafından gönderilen verilerin yetersiz doğrulanmasına dayanmaktadır ve kötü amaçlı kod eklemek ve başlatmak için kullanılabilir (CVE-2024-11477, CVSS) 7.8“Risk”yüksek“).
İnternetten kod kaçakçılığı
Saldırganlar 7-Zip kullanıcılarını İnternet'ten dikkatle hazırlanmış arşivleri (örneğin e-posta eki veya paylaşılan dosya biçiminde) açmaya ikna ederse, bu arşivlere kötü amaçlı yazılım yükleyebilirler. Zstandard formatı özellikle Linux altında sıklıkla kullanılır; Btrfs, SquashFS veya OpenZFS için bir seçenek olarak mevcuttur. Deflate'e benzer bir sıkıştırma sağlamalıdır (örn. zlib veya HTTP sıkıştırma yoluyla), ancak özellikle de sıkıştırmayı açma söz konusu olduğunda daha hızlı olmalıdır.
ZDI'daki BT araştırmacıları bu güvenlik açığını Haziran ayında keşfettiler ve 7-Zip'e bildirdiler. Sürüm 24.07 ile geliştiriciler güvenlik açığını kapattılar. Sürüm 24.08 şu anda 7-Zip web sitesinden indirilebilir.
7-Zip'in yerleşik bir güncelleme mekanizması bulunmadığından, yazılımı kullananların kendi başlarına hareket etmeleri ve yeni sürümü indirip yüklemeleri gerekmektedir. 7-Zip yazılımının özel özelliklerine ihtiyacınız yoksa onu da kaldırabilirsiniz. Windows Dosya Gezgini artık 7-Zip dosyalarını hemen oluşturup açabiliyor.
(Bilmiyorum)
Duyuru
Trend Micro'nun Sıfır Gün Girişimi Güvenlik Danışmanlığı, güvenlik açığının ana hatlarını çiziyor. Sonuç olarak, Zstandard'da sıkıştırılmış bir dosyayı açarken, kod belleğe yazılmadan önce bir tamsayı taşması meydana gelebilir. Kusur, kullanıcı tarafından gönderilen verilerin yetersiz doğrulanmasına dayanmaktadır ve kötü amaçlı kod eklemek ve başlatmak için kullanılabilir (CVE-2024-11477, CVSS) 7.8“Risk”yüksek“).
İnternetten kod kaçakçılığı
Saldırganlar 7-Zip kullanıcılarını İnternet'ten dikkatle hazırlanmış arşivleri (örneğin e-posta eki veya paylaşılan dosya biçiminde) açmaya ikna ederse, bu arşivlere kötü amaçlı yazılım yükleyebilirler. Zstandard formatı özellikle Linux altında sıklıkla kullanılır; Btrfs, SquashFS veya OpenZFS için bir seçenek olarak mevcuttur. Deflate'e benzer bir sıkıştırma sağlamalıdır (örn. zlib veya HTTP sıkıştırma yoluyla), ancak özellikle de sıkıştırmayı açma söz konusu olduğunda daha hızlı olmalıdır.
ZDI'daki BT araştırmacıları bu güvenlik açığını Haziran ayında keşfettiler ve 7-Zip'e bildirdiler. Sürüm 24.07 ile geliştiriciler güvenlik açığını kapattılar. Sürüm 24.08 şu anda 7-Zip web sitesinden indirilebilir.
7-Zip'in yerleşik bir güncelleme mekanizması bulunmadığından, yazılımı kullananların kendi başlarına hareket etmeleri ve yeni sürümü indirip yüklemeleri gerekmektedir. 7-Zip yazılımının özel özelliklerine ihtiyacınız yoksa onu da kaldırabilirsiniz. Windows Dosya Gezgini artık 7-Zip dosyalarını hemen oluşturup açabiliyor.
(Bilmiyorum)