¿Cómo puedo saber si un archivo zip utiliza el exploit 7-Zip?

Question

¿Cómo puedo saber si un archivo zip utiliza el exploit 7-Zip?

#1 de Overmind (1 votos)
#2 de Alex Stragies (0 votos)

8

Digamos que tengo un archivo zip "dañado" de una fuente potencialmente sospechosa, y que al menos una persona ha intentado extraerlo. La sabiduría convencional se usaba para ser algo tan malo ™ que no ocurría al descomprimir un archivo, pero podía interpretar los archivos comprimidos que contenía. Claramente eso no es cierto para algunas versiones de 7-Zip, una de que se usó ¹ para la extracción fallida.

¿Cómo puedo saber si este archivo zip en particular está atrapado por un bobo?

Creo que debería ser posible editar la fuente de una versión antigua de 7-Zip y escribir un poco de manejo de errores alrededor de las partes explotables para alertarte de un desbordamiento de pila y (si lo deseas) volcar los datos subsiguientes en un archivo en bruto.

¹ Como lo entiendo, p7zip es el backend de Keka que no tiene se ha actualizado en años.

zip

pregunta Michael 29.06.2016 - 21:08

fuente

2 respuestas

Lea otras preguntas en las etiquetas zip

¿Capacidad de pirateo de microcódigo? ¿Cómo separar los datos confidenciales de almacenamiento y las contraseñas de hash?

score 1 · Answer 1

No puedes saberlo como usuario porque es un exploit, no un virus.

CVE-2016-2335 está relacionado con la interpretación del formato de archivo UDF, mientras que CVE-2016-2334 es un desbordamiento de pila relacionado con el manejo de archivos Zlib. Tales cosas no serían fáciles de explotar. Tenga en cuenta que la mayoría de los archivadores en un punto tienen tales vulnerabilidades (es decir, CVE-2016-2347 para LHA), pero la mayoría de las veces no son tan peligrosos. Existen excepciones, por supuesto, aquí hay una muy peligrosa de winrar .

Sin embargo, el problema se solucionó de inmediato, por lo que actualmente no existe tal problema en la última versión.

score 0 · Answer 2

Subiría un archivo afectado a VirusTotal, o cualquier otro servicio, que verifique los archivos contra una serie de Motores AV.

Si ClamAV está entre los detectores exitosos, descargue la versión portátil de eso, y escriba algo con la versión de la línea de comandos. Mucho más gordo que un poco binario, pero mucho más rápido de "procurar".