Revista Digital GRIS Edição Abril de 2008 - Sobre o GRIS - UFRJ
Revista Digital GRIS Edição Abril de 2008 - Sobre o GRIS - UFRJ
Revista Digital GRIS Edição Abril de 2008 - Sobre o GRIS - UFRJ
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Vulnerabilida<strong>de</strong> <strong>de</strong> Execução <strong>de</strong> código e Negação <strong>de</strong> Serviço nos programas<br />
Bzip2, WinRar e 7-Zip<br />
Nível: Risco Baixo | Mo<strong>de</strong>rado | Mo<strong>de</strong>rado CVE ID's: <strong>2008</strong>-0915 | <strong>2008</strong>-0916 | <strong>2008</strong>-0914<br />
Publicada em: 18/03/<strong>2008</strong> Fonte: FrSIRT<br />
Vulnerabilida<strong>de</strong>s comuns aos três compactadores <strong>de</strong> arquivos foram reportadas. Todas elas<br />
se <strong>de</strong>vem à execução <strong>de</strong> arquivos corrompidos que causam corrupção <strong>de</strong> memória. Nos três<br />
programas, as vulnerabilida<strong>de</strong>s po<strong>de</strong> levar ao travamento do programa e po<strong>de</strong>m ser exploradas para<br />
causar ataques <strong>de</strong> negação <strong>de</strong> serviço. Porém as conseqüências se contém à este ponto apenas para o<br />
Bzip2<br />
As conseqüências mais graves se dão no Winrar e no 7-Zip, on<strong>de</strong> é possível execução <strong>de</strong><br />
código arbitrário, e por este meio, é provável que um atacante possa tomar controle <strong>de</strong> sistemas<br />
afetados.<br />
As soluções se resumem à atualizações dos programas.<br />
Winrar 3.71: http://www.rarlab.com/download.htm.<br />
Bzip2 1.0.5: http://www.bzip.org/downloads.html<br />
Para enten<strong>de</strong>r melhor:<br />
- Bzip2: Programa <strong>de</strong> compressão <strong>de</strong> dados, open source, <strong>de</strong>senvolvido por Julian Seward.<br />
- WinRar: Compactador <strong>de</strong> dados <strong>de</strong> licença Shareware, <strong>de</strong>senvolvido por Alexan<strong>de</strong>r Roshal<br />
- 7-Zip:Compactador <strong>de</strong> arquivos, open source, <strong>de</strong>senvolvido por Igor Pavlov.<br />
- Ataque <strong>de</strong> negação <strong>de</strong> serviço: Também conhecido como Denial of Service (DoS), trata-se <strong>de</strong> um<br />
ataque que visa tornar os recursos <strong>de</strong> um sistema indisponíveis para seus utilizadores, através da<br />
sobrecarga dos recursos <strong>de</strong>ste sistema (memória, processamento, etc.), <strong>de</strong> forma a força-lo a<br />
reinicializar ou impedi-lo <strong>de</strong> dispor <strong>de</strong> recursos para fornecer seus serviços. O ataque não se<br />
qualifica como uma invasão, mas sim como uma invalidação por sobrecarga.<br />
7-Zip 4.5.7: http://downloads.sourceforge.net/sevenzip/7z457.exe<br />
Para saber mais: http://www.frsirt.com/english/advisories/<strong>2008</strong>/0916<br />
http://www.frsirt.com/english/advisories/<strong>2008</strong>/0915<br />
http://www.frsirt.com/english/advisories/<strong>2008</strong>/0914