Уязвимость в ZIP-архивах: миф или реальность?

На прошлой неделе исследователь Крис Азиз опубликовал информацию о новом способе обхода систем безопасности, якобы позволяющем протаскивать вредоносное ПО под видом обычного ZIP-архива. В свойствах каждого архива в этом формате есть поле Compression Method, которое указывает на метод сжатия данных. Обычно в этом поле стоит значение DEFLATE compressed, что означает, что данные сжаты с помощью алгоритма DEFLATE.

Подробности

Метод, предложенный Азизом, заключается в установке статуса STORED (сжатие отсутствует) для обычного архива со сжатием данных, у которого в норме должен быть флаг DEFLATE Compressed. Это позволяет защитным решениям доверять описанию архива и сканировать его как контейнер с несжатыми данными, хотя на самом деле данные заархивированы. Однако эта уязвимость не так проста, как казалось на первый взгляд, поскольку на стадии выполнения вредоносного кода защита системы все равно срабатывает.

Что делать

Пользователям не стоит особо беспокоиться об этой уязвимости, поскольку она не представляет большой угрозы. Однако важно всегда использовать актуальные антивирусные программы и быть осторожными при работе с неизвестными архивами. Также важно всегда проверять свойства архивов и быть осторожными при распаковке данных. Итог: данная уязвимость не представляет большой угрозы, но всегда важно быть осторожными при работе с неизвестными архивами и использовать актуальные антивирусные программы.

Источник: Хабр — Информационная безопасность