F-Secure 公司的很多消费者产品和企业产品中均受一个严重漏洞的影响,通过特殊构造的归档文件就可执行远程代码。
网络ID为 “landave” 的研究员在很多商业产品使用的开源压缩软件 7-Zip 中发现了多个漏洞。其中一些漏洞影响 7-Zip 以及使用该软件的产品,而其它一些漏洞仅对 7-Zip 第三方实现有关。
其中一些漏洞披露于2017年,影响 Bitdefender 产品。周二,landave 在一篇博客文章中说明了如何利用去年发现的其中一个漏洞 CVE-2018-10115 在多数 Windows 版本的 F-Secure 端点保护产品上执行远程代码。
5月22日,F-Secure 公司通过自动更新机制发布补丁后,漏洞详情被披露。用户无需采取任何措施,除非他们将自动更新机制关闭。
受影响的产品包括 Windows 版本的F-Secure SAFE、Client Security、Client Security Premium、Server Security、Server Security Premium、PSB Server Security、 Email and Server Security、Email and Server Security Premium、PSB Email 和 Server Security、PSB Workstation Security、Computer Protection 和 Computer Protection Premium。
利用该漏洞直接攻击 7-Zip 相对简单,仅需要目标用户提取特殊构造的 RAR 文件。然而,在 F-Secure 产品的案例中利用更难,因为它使用了地理空间布局随机化内存包含系统。
然而,landave 找到一种绕过该机制的方法并通过恶意 RAR 文件执行代码。攻击者可能将恶意文件以邮件附件的方式发送给受害者,但这种攻击场景要求收件人手动扫描文件。更有效的攻击方法是让攻击者访问恶意网页自动下载利用文件。
研究人员解释称,“事实证明 F-Secure公司的产品拦截 HTTP 流量并自动扫描大小最多为 5MB 的文件。这种自动扫描包括(默认)提取压缩文件。因此我们能向受害者交付一个自动下载利用文件的网页。静默实现这些(阻止用户意识到触发下载),我们能够发出一个异步 HTTP 请求。”
F-Secure 公司发布安全公告称,该缺陷可被用于完全控制系统,但在发布补丁前并未发现利用情况。
F-Secure 公司还指出,要实现利用还需要一些用户交互,并表示,只有启用“扫描内部压缩文件”选项,文档扫描才会被触发。
F-Secure 公司已为研究人员颁发奖金但具体数额并未公布。从公司的漏洞奖励计划页面可看出,如果从客户端软件中找到远程代码执行漏洞,则可获得最多5000欧元的奖金奖励(折合5800美元)。
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
