I år fikk vi en skrekk angående sikkerhet som påvirket ZX-Utils-biblioteket. Derfor er det gode nyheter å vite at utviklerne benekter sårbarhet i 7-Zip, selv om det må tas med forsiktighet.
Mange er bekymret for at kritiske prosjekter er avhengige av åpen kildekode-biblioteker vedlikeholdt med få ressurser og enda færre utviklere. De er det perfekte målet for feil på grunn av uaktsomhet eller ondsinnethet.
Hva er 7-Zip-biblioteket og hva er det for?
7-Zip er en åpen kildekode filkomprimeringsprogramvare. Det begynte å bli utviklet av Igor Pavlov i 1999. Over tid ble det det gratis alternativet til proprietære løsninger som WinZip eller WinRar for komprimering og dekomprimering av filer. Den brukes både av individuelle brukere og av programvareutviklingsselskaper.
I tillegg til sitt eget format som tilbyr en bedre komprimeringsrate enn kommersielle alternativer, er blant annet kompatibel med følgende formater:
- XZ
- bzip2
- GZIP
- TAR
- ZIP
- WI
- JRA
- CAB
- CHM
- CPIO
Blant fordelene med å bruke det er:
- Høy kompresjonshastighet: Det opprinnelige 7z-formatet har komprimeringsalgoritmer som gir mye bedre komprimeringsforhold som er nyttige for å jobbe med store datamengder.
- Integrasjon med Windows Shell: Programmet integreres med Windows-kontekstmenyen, noe som gjør det enklere for brukere å få tilgang til funksjoner ved å høyreklikke på filen.
- sikkerhet: 7-Zip tillater filkryptering ved hjelp av AES-256. Det er kun mulig å dekryptere det ved å bruke passordet.
- Tilgjengelig for Linux i depotene. Også på andre Unix-baserte systemer.
Det (antatte) sikkerhetsproblemet
La oss starte med å si det Når vi snakker om en nulldagers utnyttelse, refererer vi til en feil i programvaren som er ukjent for utviklere og brukere... Vi sikter til sårbarheter som kan utnyttes av datakriminelle som bruker dem til å få uautorisert tilgang til systemer og skaffe informasjon eller forårsake skade.
Det viser seg at på Elon Musks sosiale nettverk, en bruker som identifiserer seg som "NSA_Employee39" hevdet at den nyeste versjonen av 7-ZIP har en null-dagers utnyttelse som når brukeren komprimerer eller dekomprimerer en fil, lar angripere kjøre vilkårlig kode. Problemet er LZMA-dekoderen. Og her går vi med en annen forklaring.
LZMA er et akronym for noe som vi på spansk kan oversette som "Lempel-Ziv Markov Chain Algorithm." Det er algoritmen som 7-Zip og andre programmer bruker for å komprimere filer. Som navnet indikerer, en LZMA-dekoder reverserer prosessen ved å rekonstruere den opprinnelige filen
De benekter sårbarhet i 7-Zip
I feil-delen av prosjektets diskusjonsforum benektet Igor Pavlov innlegget:
«Denne rapporten på Twitter er falsk. Jeg forstår ikke hvorfor denne Twitter-brukeren kom med en slik uttalelse..»
Jeg har ikke tenkt å fordype meg i den påfølgende tekniske diskusjonen mellom X-brukeren og Pavlov. I utgangspunktet er uenigheten at klageren hevder at sårbarheten er i en funksjon som utvikleren insisterer på at programmet ikke bruker.
For øyeblikket er det ingen uavhengige bekreftelser på eksistensen av sårbarheten.
Hva kan vi gjøre?
Når det gjelder 7-Zip, må vi vente å se hva Linux-distribusjonene vi bruker gjør. Disse er vanligvis ganske raske til å frigjøre patcher hvis de er nødvendige. Angående utnyttelser generelt. Vi kan følge disse tipsene:
- Hold programvaren oppdatert: Generelt blir de fleste av sårbarhetene som oppdages oppdaget av forskere, så oppdateringer er tilgjengelige før de kan utnyttes av kriminelle. Det er best å aktivere automatiske oppdateringer.
- Bruk selvstendige pakker: Pakker i Snap-, Flatpak- og Appimage-formater kobles ikke til kritiske deler av operativsystemet. I tillegg har de en tendens til å bli oppdatert oftere enn programmene i depotene.
- Lag en sikkerhetskopi: Selv om det er bedre å forebygge. I tilfelle angrep skjer, er det greit å ha en backup-plan.