Security Week 2508: уязвимости встроенного архиватора Windows

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

Security Week 2508: уязвимости встроенного архиватора Windows

17.02.2025 19:15:12 | Хабр

Хабы: Блог компании «Лаборатория Касперского», Информационная безопасность
В октябре 2023 года в Microsoft Windows была добавлена поддержка 11 форматов сжатия данных. Операционная система, долгое время нативно поддерживающая только архивы .zip, научилась разархивировать файлы в формате RAR, 7z и прочих. Реализовано это было с помощью библиотеки libarchive, которая распространяется с открытым исходным кодом. Исследователи из команды DEVCORE проанализировали эту относительно свежую функциональность и обнаружили пару новых уязвимостей.

Первая уязвимость (CVE-2024-26185), которую удалось обнаружить исследователям, относится к классу Path Traversal. Это крайне распространенная ошибка, при которой «подготовленный» архив получается сохранить не во временную директорию и не куда указал пользователь, а куда угодно. Достигается это манипуляциями с абсолютным путем к файлу в архиве, которые недостаточно хорошо фильтруются при распаковке. В результате получается то, что изображено на скриншоте: при распаковке архива RAR-файл сохраняется в произвольное место в системе, в данном случае в корневую директорию.
Читать дальше →

Подробнее

Читайте также

Российские учёные создадут ядерные часы — они помогут с исследованием тёмной материи
17.02.2025 19:11:30 | vc.ru

Китайские электросамокаты станут умнее благодаря ИИ DeepSeek
17.02.2025 19:10:23 | ferra.ru

Банк «Санкт-Петербург» введёт комиссию за приём наличной валюты на сумму от $200 тысяч и более в календарные сутки
17.02.2025 18:59:06 | vc.ru

Разработчику роботов Figure AI понадобились 1,5 млрд долларов инвестиций
17.02.2025 18:45:09 | ferra.ru

[Перевод] Как человеческий мозг справляется с таким странным понятием, как ноль
17.02.2025 18:22:26 | Хабр

Apple Pro Weekly News (10.02 – 16.02.25)
17.02.2025 18:02:50 | Хабр

Jeep раскритиковали за всплывающую рекламу в автомобилях. Она обвинила «глюк»
17.02.2025 18:00:08 | ferra.ru

Австралия на два года запретит иностранцам покупать жильё
17.02.2025 17:49:14 | vc.ru

Game++. run, thread, run…
17.02.2025 17:19:38 | Хабр

Разработчик Linux под ноутбуки Apple ушел в отставку
17.02.2025 17:15:06 | ferra.ru

Россия и ОАЭ подписали соглашение об избежании двойного налогообложения
17.02.2025 17:10:16 | vc.ru

[Перевод] Илон Маск объявил дату выхода Grok-3 и подробности
17.02.2025 16:58:15 | Хабр

Учёные опровергли редкость разумной жизни во Вселенной
17.02.2025 16:30:04 | ferra.ru

[Перевод] Контрабанда данных внутри эмодзи
17.02.2025 16:23:23 | Хабр

Проверка IFC моделей по требованиям IDS
17.02.2025 16:17:00 | Хабр

WD представит жесткие диски на 100 ТБ к 2030 году
17.02.2025 16:02:51 | it-world

•Экс-Facebook решила стать частью гонки создания гуманоидных роботов
17.02.2025 15:45:02 | ferra.ru

В Ростовской области задержан замминистра Минцифры
17.02.2025 15:41:54 | it-world

От «кошмара» до «вау»: как готовить крутые презентации
17.02.2025 15:03:16 | Хабр

Разработчик Дана Пуч создал консоль с экраном E-Ink, на которой можно играть в текстовые игры
17.02.2025 15:02:16 | vc.ru

В •Instagram вернулись дизлайки, но с нюансом
17.02.2025 15:00:01 | ferra.ru

Spotify запустит подписку Music Pro с генератором ремиксов и ИИ-функциями — Bloomberg
17.02.2025 14:58:58 | vc.ru

Нобелевский лауреат Леонид Канторович и его вклад в IT
17.02.2025 14:46:32 | Хабр

Карьера разработчика 2к25: берём вторую работу или помогаем заработать бизнесу?
17.02.2025 14:45:57 | Хабр

АНАЛИЗ РЫНКА ИТ-СПЕЦИАЛИСТОВ В РОССИИ: ПУЗЫРЬ ИЛИ УСТОЙЧИВЫЙ РОСТ?
17.02.2025 14:18:49 | Хабр

Amazon отложила ИИ-обновление своего голосового помощника из-за частых ошибок
17.02.2025 14:15:59 | ferra.ru

Президент Аргентины Хавьер Милей прорекламировал в X монету $Libra — за несколько часов её капитализация достигла $4,56 млрд, а затем обвалилась на 95%
17.02.2025 14:15:05 | vc.ru

Топ вопросов и ответов на собеседовании по Kubernetes
17.02.2025 14:05:28 | Хабр

История создания идеального Docker для Laravel
17.02.2025 14:02:15 | Хабр

Как устроена дизайн-система в T2
17.02.2025 14:00:25 | Хабр

Беру лимончик, выжимаю, немного мяты, помешал и продаю на маркетплейсах на 50 млн в год
17.02.2025 14:00:23 | Хабр

Use case использования Kubernetes при построении Cloud-Native-платформы данных
17.02.2025 13:57:30 | Хабр

RxJS за пределами базового использования: как писать свои операторы
17.02.2025 13:55:00 | Хабр

Свобода для всех. DashBoard для ispsystem. GNU GPL
17.02.2025 13:35:31 | Хабр

Логотип Nintendo GameCube 2001 года всё ещё считают лучшим в истории
17.02.2025 13:30:58 | ferra.ru

Смотреть все

НОВОСТИ

Названы десять поломок, которые водители готовы починить сами
28.03.2026 14:30:00 | За рулем

Вооружённые силы Украины за сутки лишились 29 пунктов управления БПЛА
07.03.2026 08:17:05 | Life.ru

Ночью в Орловской области сбили 15 беспилотников ВСУ
07.03.2026 08:17:05 | Life.ru

Колонну ВСУ с боевиками разгромили на пути к границе в Сумской области
07.03.2026 08:15:19 | Life.ru

Что предлагает индустрия Беларуси для столицы Урала
07.03.2026 08:15:00 | Российская Газета

США обсуждают с Киевом создание «небесной крепости» на Ближнем Востоке
07.03.2026 08:13:44 | Life.ru

Расчёт «Мста-Б» поразил пункт временной дислокации ВСУ в Херсонской области
07.03.2026 08:11:37 | Life.ru

Президент ЦАР призвал остановить конфликт на Ближнем Востоке
07.03.2026 08:11:20 | ТАСС

Жительница Оренбургской области перевела мошенникам более 2,2 млн рублей
07.03.2026 08:10:47 | ТАСС

Пленный из ВСУ рассказал об острой нехватке украинских военных на ЛБС
07.03.2026 08:10:36 | ТАСС

В российском регионе получила повреждения железнодорожная инфраструктура
07.03.2026 08:10:27 | Lenta.ru

ТАСС: на пасеке с майнинговой фермой под Красноярском не было ульев и пчел
07.03.2026 08:09:27 | ТАСС

Четыре моряка погибли, трое ранены при атаке на буксир в Ормузском проливе
07.03.2026 08:08:15 | Life.ru

Каждый третий опрошенный россиянин готов взять деньги в долг ради путешествия
07.03.2026 08:07:15 | ТАСС

Эксперт предупредила о рисках для аллергиков на 8 марта
07.03.2026 08:07:03 | ТАСС

Эксперт Голубева рассказала, чем грозит принятие подарков дороже 3 тыс. рублей
07.03.2026 08:04:18 | ТАСС

В МИД сыронизировали о готовности Зеленского надеть юбку ради Трампа
07.03.2026 08:02:36 | Lenta.ru

В Ханском дворце Бахчисарая обнаружили баню XVII-XVIII веков с "теплыми полами"
07.03.2026 08:00:56 | ТАСС

Президент ЦАР: ближневосточный конфликт оказывает влияние на международную торговлю
07.03.2026 08:00:39 | ТАСС

Названы последствия иранской блокады для стран Ближнего Востока
07.03.2026 08:00:19 | Lenta.ru

Fox News: Третий авианосец США собрался в Средиземное море
07.03.2026 08:00:00 | Российская Газета

От спекулянта до "великого комбинатора". Пять ярких ролей Андрея Миронова
07.03.2026 08:00:00 | ТАСС

Президент Приднестровья предложил Кишиневу нарастить мощности Молдавской ГРЭС
07.03.2026 07:58:55 | ТАСС

За ночь расчёты ПВО сбили 124 украинских дрона над регионами России
07.03.2026 07:58:46 | Life.ru

Туристы из РФ на Шри-Ланке находятся под угрозой выселения из отелей
07.03.2026 07:58:32 | ТАСС

В России за ночь сбили 124 БПЛА
07.03.2026 07:56:29 | Коммерсантъ

ТАСС: воздушное пространство Бахрейна и Кувейта останется закрытым до вечера
07.03.2026 07:56:26 | ТАСС

Назван новый срок оплаты ЖКУ за февраль
07.03.2026 07:55:00 | Lenta.ru

Al Jazeera: над Иорданией сбили четыре иранских БПЛА
07.03.2026 07:54:57 | ТАСС

На Сахалине займутся разработкой биокомпонента из водорослей для лечения рака
07.03.2026 07:51:44 | ТАСС

"Юрьев день" шокировал Овечкина. В НХЛ закрылось трансферное окно
07.03.2026 07:51:12 | ТАСС

Пять аэропортов России возобновили работу после снятия ограничений
07.03.2026 07:48:53 | Life.ru

Дмитриев пошутил об умоляющих Россию русофобах
07.03.2026 07:48:46 | Lenta.ru

ВТБ: позитивный настрой преобладал на рынке акций РФ в течение недели
07.03.2026 07:46:05 | ТАСС

Al Hadath: Израильский десант в Ливане пытался забрать останки штурмана Арада
07.03.2026 07:46:04 | Life.ru

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2026 - vsetut.pro