Especialistas do Google encontraram uma vulnerabilidade, identificada como CVE-2019-18408, na biblioteca libarchive e que pode ser explorada para executar código arbitrário.
A libarchive é uma biblioteca de compactação de vários formatos que implementa uma única interface para leitura / gravação de vários formatos de compactação.
Vários sistemas operativos, gestores de pacotes, ferramentas de arquivo e navegadores de ficheiros usam a biblioteca. A falha afeta as principais distribuições Linux, incluindo Debian, Ubuntu, Arch Linux, FreeBSD e NetBSD.
Os sistemas operativos Windows e o macOS que usam a biblioteca não são afetados.
A vulnerabilidade CVE-2019-18408 é um problema de use-after-free que pode ser explorado para causar uma condição de negação de serviço e potencialmente para executar código arbitrário. A vulnerabilidade pode ser explorada enganando a vítima a abrir um ficheiro malformado especialmente criado.
Os investigadores do Google descobriram a vulnerabilidade CVE-2019-18408 via OSS-Fuzz.
“archive_read_format_rar_read_data in archive_read_support_format_rar.c in libarchive before 3.4.0 has a use-after-free in a certain ARCHIVE_FAILED situation, related to Ppmd7_DecodeSymbol,” reads the description of the issue.
A vulnerabilidade já foi corrigida com o lançamento da versão 3.4.0.