Open source-tool UnZip bevat kritieke kwetsbaarheid

  1. 23 dec 2014
  2. 0 reacties

buffer-overflow

De open source-tool UnZip om gecomprimeerde bestanden mee uit te pakken bevat een kritieke kwetsbaarheid. Hackers blijken een buffer overflow te kunnen veroorzaken, waardoor zij op afstand willekeurige code op een systeem kunnen uitvoeren.

De kwetsbaarheid is ontdekt door het Google Security Team en deze maand gemeld door Michael Spagnualo, lid van dit team. Het probleem zit in de cyclic redundancy check (CRC) van UnZip, een controle die fouten in bestanden moet detecteren en hierdoor de veiligheid van gebruikers moet vergroten. Door een fout in deze controle bleek een buffer overflow te kunnen worden veroorzaakt. De kwetsbaarheid kan door een aanvaller worden uitgebuit door een speciaal geprepareerd ZIP-bestand met het commando ‘unzip -t’ uit te laten pakken door UnZip.

Het probleem is inmiddels door de ontwikkelaars van UnZip opgelost met twee updates. Het probleem is in alle eerdere versies van UnZip aanwezig, inclusief UnZip 6.0.

Meer over
Lees ook
Mozilla wil open source projecten onderwerpen aan beveiligingsaudits

Mozilla wil open source projecten onderwerpen aan beveiligingsaudits

Mozilla richt het Secure Open Source (SOS) Fund op, een fonds om beveiligingsaudits te financieren voor belangrijke open source projecten. Dit moet herhaling van geruchtmakende beveiligingsincidenten zoals Heartbleed en Shellshock voorkomen. Het SOS Fonds krijgt in eerste instantie een half miljoen dollar tot zijn beschikking om beveiligingsaudits1

Beveiligingslek in ImageMagick maakt websites kwetsbaar

Beveiligingslek in ImageMagick maakt websites kwetsbaar

Een groot aantal websites zijn kwetsbaar voor cyberaanvallen door een ernstig beveiligingslek in ImageMagick, een softwaresuite die het mogelijk maakt afbeeldingen te verwerken. Het lek maakt het mogelijk willekeurige code uit te voeren op de webserver waarop een website wordt gehost. Het lek is ontdekt door de Russische beveiligingsonderzoeker Ni1

Open Source video surveillance software  

Open Source video surveillance software  

In het lage segment van de beveiligingsmarkt is de prijzenslag begonnen. Voor een paar honderd euro heb je tegenwoordig een camera systeem. Uit recente meldingen blijkt dat er toch vaak dubieuze software in dit soort systemen zit. Zo werd eind 2015 een achterdeur ontdekt in de firmware van een heel goedkoop video surveillance systeem van het merk1