已建站十年的老牌绿色软件站
不忘初心,坚持每日更新不易!

CNNVD通报手机程序第三方解压缩库输入验证安全漏洞

近日,国家信息安全漏洞库(CNNVD)收到关于手机程序第三方解压缩库输入验证安全漏洞(CNNVD-201805-440)情况的报送。成功利用该漏洞的攻击者,可以远程读取应用数据、甚至执行任意代码,具体危害与受影响应用的功能和权限相关。iOS平台内置第三方解压缩库(经验证,包括但不限于SSZipArchive和ZipArchive两种库)的应用均可能受漏洞影响,安卓平台中使用第三方解压缩库进行解压缩的应用,如果没有对解压缩路径进行检查的可能也会受到漏洞影响。目前,相关厂商暂未发布解决方案,但可通过临时解决措施缓解漏洞造成的危害。

CNNVD通报手机程序第三方解压缩库输入验证安全漏洞

一、漏洞介绍

手机程序第三方解压缩库输入验证安全漏洞存在于使用了第三方解压缩库的应用中。漏洞源于手机程序中的第三方解压缩库,在解压zip压缩包时并未对“../”进行过滤。手机程序在调用第三方解压缩库解压zip压缩包时未对解压路径进行检查,当从不安全的来源获得zip格式压缩包文件并解压缩时,如果该zip压缩文件被劫持插入恶意代码,可能导致任意代码执行。

二、危害影响

成功利用漏洞的攻击者,可以远程读取应用数据、甚至执行任意代码,具体危害与受影响应用的功能和权限相关。iOS平台内置第三方解压缩库(经验证,包括但不限于SSZipArchive和ZipArchive两种库)的应用均可能受漏洞影响,安卓平台中使用第三方解压缩库进行解压缩的应用,如果没有对解压缩路径进行检查的可能也会受到漏洞影响。

三、修复建议

目前,相关厂商暂未发布解决方案,但可通过临时解决方案缓解漏洞造成的危害,具体措施如下:

1.在解压缩时对最终路径做“../”文件名和符号链接的过滤。 2.使用 https 下载资源,或者对下载的文件进行校验防止被恶意修改。

CNNVD简介

国家信息安全漏洞库(CNNVD)是中国信息安全测评中心为切实履行漏洞分析和风险评估职能,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。经过几年的建设与运营。

CNNVD在信息安全漏洞搜集、重大漏洞信息通报、高危漏洞安全消控等方面发挥了重大作用,为我国重要行业和关键基础设施安全保障工作提供了重要的技术支撑和数据支持。通过自主挖掘、社会提交、协作共享、网络搜集以及技术检测等方式,经过多年的收录工作。

CNNVD已收录信息技术产品漏洞信息九万余条,信息系统相关漏洞信息十万多条,漏洞信息覆盖国内外主流的应用软件、操作系统和网络设备等,涉及国内外各大厂商上千家,涵盖政府、金融、交通、工控、卫生医疗等多个行业。

随着CNNVD漏洞库漏洞数量不断扩大、影响力逐步提升,目前成为收录漏洞数目最多、漏洞属性最全、内容质量最高的国家级信息安全漏洞库。

赞(1003)

这些信息可能会帮助到你: 下载帮助 | 报毒说明 | 进站必看 | 关于我们

版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《CNNVD通报手机程序第三方解压缩库输入验证安全漏洞》
文章链接:https://www.ypojie.com/4358.html
免责声明:根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途,网站会员捐赠是您喜欢本站而产生的赞助支持行为,仅为维持服务器的开支与维护,全凭自愿无任何强求。