В кросс-платформенной библиотеке сжатия Zlib выявлена критическая уязвимость, которая теоретически может использоваться злоумышленниками с целью получения несанкционированного доступа к удаленному компьютеру и последующего выполнения на нем произвольных операций.
Как сообщается в бюллетене безопа
ности Secunia, проблема связана с модулем inftrees.c. Для реализации нападения атакующему необходимо вынудить жертву открыть сформированный особым образом файл, обработка которого приведет к возникновению ошибки переполнения буфера и запуску вредоносного программного кода. Брешь присутствует в библиотеке Zlib версии 1.2.2 и, возможно, более ранних модификациях.
Поскольку дыра присутствует именно в библиотеке, уязвимыми оказываются самые различные приложения и операционные системы. Опасности, в частности, подвержены пользователи AIX, Debian, FreeBSD, Gentoo, SuSE, Red Hat, Ubuntu и пр. Кроме того, Zlib применяется многими другими программами, работающими со сжатыми данными, в том числе Microsoft DirectX, FrontPage, Internet Explorer, Office, Visual Studio и Messenger.
Некоторые программы обращаются к динамической версии библиотеки, что позволяет устранить дыру путем установки на компьютере обновленной версии Zlib. Однако часть приложений связаны с Zlib статически. Иными словами, для каждого такого программного продукта патчи придется инсталлировать отдельно.
Ряд разработчиков уже выпустили заплатки для своих приложений и обновленные версии Zlib, сообщает Compulenta.ru. Реальных случаев использования уязвимости пока зафиксировано не было.
Ранее в библиотеке Zlib уже была выявлена очень опасная дыра. В 2002 году один из пользователей Linux обнаружил, что при определЈнных условиях zlib могла дважды освободить одну и ту же область памяти. Используя брешь, злоумышленник мог вызвать сбои в работе программ и получить несанкционированный доступ к удаленной машине.