Open source-tool UnZip bevat kritieke kwetsbaarheid

  1. 23 dec 2014
  2. 0 reacties

buffer-overflow

De open source-tool UnZip om gecomprimeerde bestanden mee uit te pakken bevat een kritieke kwetsbaarheid. Hackers blijken een buffer overflow te kunnen veroorzaken, waardoor zij op afstand willekeurige code op een systeem kunnen uitvoeren.

De kwetsbaarheid is ontdekt door het Google Security Team en deze maand gemeld door Michael Spagnualo, lid van dit team. Het probleem zit in de cyclic redundancy check (CRC) van UnZip, een controle die fouten in bestanden moet detecteren en hierdoor de veiligheid van gebruikers moet vergroten. Door een fout in deze controle bleek een buffer overflow te kunnen worden veroorzaakt. De kwetsbaarheid kan door een aanvaller worden uitgebuit door een speciaal geprepareerd ZIP-bestand met het commando ‘unzip -t’ uit te laten pakken door UnZip.

Het probleem is inmiddels door de ontwikkelaars van UnZip opgelost met twee updates. Het probleem is in alle eerdere versies van UnZip aanwezig, inclusief UnZip 6.0.

Meer over
Lees ook
Microsoft brengt XP-update uit om ernstig lek in Internet Explorer te dichten

Microsoft brengt XP-update uit om ernstig lek in Internet Explorer te dichten

Microsoft heeft het ernstige beveiligingslek in Internet Explorer gedicht. Het Amerikaanse IT-bedrijf ook een update uit voor Windows XP, waarmee de kwetsbaarheid ook op dit verouderde besturingssysteem wordt gedicht. Het is opvallend dat Microsoft ook voor Windows XP een update heeft uitgebracht, aangezien het besturingssysteem sinds 8 april 20141

Eerste ernstige XP-kwetsbaarheid die niet meer wordt gedicht is een feit

Eerste ernstige XP-kwetsbaarheid die niet meer wordt gedicht is een feit

De eerste ernstige kwetsbaarheid in Windows XP die niet meer door Microsoft zal worden gedicht is een feit. Microsoft meldt dat Internet Explorer (IE) 6 tot en met 11 een ernstige kwetsbaarheid bevat. IE 6 t/m 8 is echter ook beschikbaar voor Windows XP. Voor dit besturingssysteem gaat Microsoft geen updates meer beschikbaar stellen, wat betekent1

Trend Micro schiet gebruikers te hulp met Heartbleed Detector

Trend Micro schiet gebruikers te hulp met Heartbleed Detector

De Heartbleed-bug heeft voor veel onrust veroorzaakt. Een enorme hoeveelheid internetwebsites is door de OpenSSL-kwetsbaarheid getroffen, waaronder ook allerlei bekende en populaire clouddiensten. Gebruikers moeten hierdoor bij allerlei websites hun wachtwoord wijzigen. Maar welke websites zijn nou precies kwetsbaar voor de Heartbleed-bug? Trend M1