Pesquisadores encontram falha no processamento de arquivos ‘Zip’

Em 7 jun 2018 - 2:37pm por videobes


Arquivos compactados — como “.zip”, “.rar” e outros — podem ser normalmente abertos e até descompactados com segurança. É o conteúdo deles que pode ser perigoso, se aberto. Porém, uma vulnerabilidade presente em vários programas que processam esses arquivos pode tornar um sistema vulnerável só de descompactar esses arquivos — mesmo que o conteúdo em si não seja aberto ou executado pelo usuário.

Batizada de “Zip Slip”, a brecha descoberta por pesquisadores da Snyk permite que um arquivo ZIP malicioso defina o exato lugar onde seus arquivos devem ser extraídos. Assim, eles podem “sair” da pasta de onde foram descompactados e entrar em locais críticos do sistema, como as pastas de inicialização que são acionadas quando o computador é iniciado. O atacante também pode usar a brecha para forçar o sistema a sobrescrever arquivos importantes, acarretando na perda de dados e configurações.

É bastante simples explorar a falha: basta que o arquivo ZIP marque a pasta de um de seus arquivos com “../”, que significa “a pasta acima”. Essas brechas são conhecidas como “directory traversal”, ou “travessia de diretório”.

A brecha chama atenção pela quantidade de aplicativos vulneráveis. Como o problema está presente no que programadores chamam de “bibliotecas” — códigos prontos que são integrados em outros projetos para evitar a “reinvenção da roda” –, vários programas estão suscetíveis ao mesmo ataque (a lista completa está no Github da Snyk (https://github.com/snyk/zip-slip-vulnerability)). Programadores precisam ficar atentos caso tenham utilizado uma das bibliotecas vulneráveis para também atualizarem os seus aplicativos.

Felizmente para os consumidores, os produtos vulneráveis são todos destinados ao segmento de aplicações corporativas. Programas de uso popular, como o WinZip e o WinRAR, não estão na lista de programas com o defeito. Acredita-se, porém, que grandes sites da web, como Twitter, Amazon e LinkedIn podem ter dependido de códigos com a brecha.

Uma exceção é o AnkiDroid, a versão Android do programa gratuito de estudo Anki. O Anki é utilizado para o estudo de vocabulário de idiomas e outros assuntos que dependem de memorização e permite que o usuário faça a importação de conteúdo. Na plataforma Android, porém, a brecha seria de exploração difícil sem estar presente em um programa do próprio sistema, o que significa que, mesmo nesse caso, o perigo é baixo.

Comentários no Facebook