[ksoft] Опасная уязвимость в кросс-платформенной библиотеке ZLIB
Привет, All!
В кросс-платформенной библиотеке сжатия Zlib выявлена критическая
уязвимость, которая теоретически может использоваться злоумышленниками
с целью получения несанкционированного доступа к удаленному компьютеру
и последующего выполнения на нем произвольных операций.
Как сообщается в бюллетене безопасности Secunia, проблема связана с
модулем inftrees.c. Для реализации нападения атакующему необходимо
вынудить жертву открыть сформированный особым образом файл, обработка
которого приведет к возникновению ошибки переполнения буфера и запуску
вредоносного программного кода. Брешь присутствует в библиотеке Zlib
версии 1.2.2 и, возможно, более ранних модификациях.
Поскольку дыра присутствует именно в библиотеке, уязвимыми оказываются
самые различные приложения и операционные системы. Опасности, в
частности, подвержены пользователи AIX, Debian, FreeBSD, Gentoo, SuSE,
Red Hat, Ubuntu и пр. Кроме того, Zlib применяется многими другими
программами, работающими со сжатыми данными, в том числе Microsoft
DirectX, FrontPage, Internet Explorer, Office, Visual Studio и
Messenger.
Некоторые программы обращаются к динамической версии библиотеки, что
позволяет устранить дыру путем установки на компьютере обновленной
версии Zlib. Однако часть приложений связаны с Zlib статически. Иными
словами, для каждого такого программного продукта патчи придется
инсталлировать отдельно.
Ряд разработчиков уже выпустили заплатки для своих приложений и
обновленные версии Zlib,
http://www.eweek.com/article2/0,1895,1834632,00.asp
сообщает Eweek. Реальных случаев использования уязвимости пока
зафиксировано не было.
Ранее в библиотеке Zlib уже была выявлена очень опасная дыра. В 2002
году один из пользователей Linux
http://www.compulenta.ru/2002/3/12/26588
обнаружил, что при определённых условиях zlib могла дважды освободить
одну и ту же область памяти. Используя брешь, злоумышленник мог
вызвать сбои в работе программ и получить несанкционированный доступ к
удаленной машине.
