Come posso sapere se un file zip utilizza l'exploit 7-Zip?

8

Diciamo che ho un file zip "corrotto" da una fonte potenzialmente sospetta e che almeno una persona ha tentato di estrarlo. La saggezza convenzionale usata per essere quella cosa cattiva ™ non è avvenuta dalla decompressione di un file, ma potrebbe dall'interpretazione dei file compressi che conteneva. Chiaramente questo non è vero per alcune versioni di 7-Zip, una delle che è stato usato 1 per l'estrazione fallita.

Come posso sapere se questo particolare file zip è intrappolato in una boa?

Penso che dovrebbe essere possibile modificare l'origine di una vecchia versione di 7-Zip e scrivere una gestione degli errori attorno alle porzioni sfruttabili per avvisare l'utente di un overflow dell'heap e (se lo si desidera) scaricare i dati successivi in un file raw.

1 A quanto ho capito, p7zip è il backend per Keka che non ha stato aggiornato negli anni.

    
posta Michael 29.06.2016 - 21:08
fonte

2 risposte

1

Non puoi dirlo come utente perché è un exploit, non un virus.

CVE-2016-2335 è relativo all'interpretazione del formato di file UDF, mentre CVE-2016-2334 è un overflow di heap relativo alla gestione dei file Zlib. Tali cose non sarebbero affatto facili da sfruttare. Si noti che la maggior parte degli archiviatori in un punto hanno tali exploit (ad esempio CVE-2016-2347 per LHA), ma la maggior parte delle volte non sono così pericolosi. Esistono delle eccezioni, naturalmente qui c'è una parte davvero pericolosa di winrar .

Il problema è stato risolto immediatamente, quindi attualmente non ci sono problemi nell'ultima versione.

    
risposta data 30.06.2016 - 10:21
fonte
0

Vorrei caricare un file interessato su VirusTotal, o qualsiasi altro servizio, che controlli i file rispetto a un certo numero di motori AV.

Se ClamAV è tra i rivelatori di successo, scarica la versione portatile di quello e scrivi qualcosa con la versione da riga di comando. Molto più grasso di un piccolo binario, ma molto più veloce da "procurare".

    
risposta data 10.07.2016 - 00:48
fonte

Leggi altre domande sui tag