TALOS发现多个7-ZIP漏洞.PDFVIP

2 0 1 6 年 5 月 1 1 日，星期三 TALOS 发现多个7-ZIP 漏洞 作者：Marcin Noga 和Jaeson Schultz。 7-Zip 是一款开源文件存档应用，其主要特性包括：可选AES-256 加密；支持大文件；能够 兼容“任何压缩、转换或加密方法”。最近，思科Talos 团队在7-Zip 中发现了多个可被利 用的漏洞。这些类型的漏洞格外值得关注，因为厂商可能不会意识到他们使用了存在漏洞的 代码库。举例来说，如果厂商将此应用集成到安全设备或防病毒产品，就会特别令人担忧。 目前，所有主要的平台都支持7-Zip ，该应用已成为当今最受欢迎的常用存档工具之一。如 果说出受影响的产品和设备的数量，可能会令人感到吃惊。 TALOS-CAN-0094 ，越界读取漏洞，[CVE-2016-2335] 7-Zip 处理通用光盘格式(UDF) 文件的方式存在越界读取漏洞。UDF 文件系统是为了取代 ISO-9660 文件格式而制定的，最终作为官方DVD 视频/音频文件系统得到采用。 7-Zip 处理UDF 文件主要是使用CInArchive::ReadFileItem 方法。由于卷可能具有不止一个 分区映射，所以卷对象会保存在一个对象容器中。在开始寻找某个项时， CInArchive::ReadFileItem 方法会尝试使用分区映射的对象容器以及长分配描述符的 “PartitionRef”字段，来引用正确的对象。由于此方法不会检查“PartitionRef”字段是否大 于可用的分区映射对象的数量，所以会导致读取越界，在一些情况下，还可能造成任意代码 执行漏洞。 存在漏洞的代码： CPP\7zip\Archive\Udf\UdfIn.cpp Line 898 FOR_VECTOR (fsIndex, vol.FileSets) Line 899 { Line 900 CFileSet fs = vol.FileSets[fsIndex]; Line 901 unsigned fileIndex = Files.Size(); Line 902 Files.AddNew(); Line 903 RINOK(ReadFileItem(volIndex, fsIndex, fs.RootDirICB, kNumRecursionLevelsMax)); Line 904 RINOK(FillRefs(fs, fileIndex, -1, kNumRecursionLevelsMax)); Line 905 } (...) Line 384 HRESULT CInArchive::ReadFileItem(int volIndex, int fsIndex, const CLongAllocDesc lad, int numRecurseAllowed) Line 385 { Line 386 if (Files.Size() % 100 == 0) Line 387 RINOK(_progress-SetCompleted(Files.Size(), _processedProgressBytes)); Line 388 if (numRecurseAllowed-- == 0) Line 389 return S_FALSE; Line 390 CFile file = Files.Back(); Line 391 const CLogVol vol = LogVols[volIndex]; Line 392 CPartition partition = Partitions[vol.PartitionMaps[lad.Location.PartitionRef].PartitionIndex]; 如果输入任何包含错误长分配描述符的代码，就会触发此漏洞。可以看出，在上面列出的代 码的第 898-905 行，程序会搜索特定卷中的元素，文件集以 RootDirICB 长分配描述符起始。 此记录可以被故意设置错误，以达到恶意目的。漏洞出现在第392 行，此处的PartitionRef 字段会超过PartitionMaps 容器中的元素的数量。 TALOS-CAN-0093 ，堆溢出漏洞，[CVE-2016-2334] 7-Zip 的 Archive::NHfs::CHandler::ExtractZlibFile 方法中，存在一个可被利用的堆溢出