Open source-tool UnZip bevat kritieke kwetsbaarheid
De open source-tool UnZip om gecomprimeerde bestanden mee uit te pakken bevat een kritieke kwetsbaarheid. Hackers blijken een buffer overflow te kunnen veroorzaken, waardoor zij op afstand willekeurige code op een systeem kunnen uitvoeren.
De kwetsbaarheid is ontdekt door het Google Security Team en deze maand gemeld door Michael Spagnualo, lid van dit team. Het probleem zit in de cyclic redundancy check (CRC) van UnZip, een controle die fouten in bestanden moet detecteren en hierdoor de veiligheid van gebruikers moet vergroten. Door een fout in deze controle bleek een buffer overflow te kunnen worden veroorzaakt. De kwetsbaarheid kan door een aanvaller worden uitgebuit door een speciaal geprepareerd ZIP-bestand met het commando ‘unzip -t’ uit te laten pakken door UnZip.
Het probleem is inmiddels door de ontwikkelaars van UnZip opgelost met twee updates. Het probleem is in alle eerdere versies van UnZip aanwezig, inclusief UnZip 6.0.