Especialistas do Google encontraram uma vulnerabilidade, identificada como CVE-2019-18408, na biblioteca libarchive e que pode ser explorada para executar código arbitrário.
A libarchive é uma biblioteca de compactação de vários formatos que implementa uma única interface para leitura / gravação de vários formatos de compactação.
Vários sistemas operativos, gestores de pacotes, ferramentas de arquivo e navegadores de ficheiros usam a biblioteca. A falha afeta as principais distribuições Linux, incluindo Debian, Ubuntu, Arch Linux, FreeBSD e NetBSD.
Os sistemas operativos Windows e o macOS que usam a biblioteca não são afetados.
A vulnerabilidade CVE-2019-18408 é um problema de use-after-free que pode ser explorado para causar uma condição de negação de serviço e potencialmente para executar código arbitrário. A vulnerabilidade pode ser explorada enganando a vítima a abrir um ficheiro malformado especialmente criado.
Os investigadores do Google descobriram a vulnerabilidade CVE-2019-18408 via OSS-Fuzz.
“archive_read_format_rar_read_data in archive_read_support_format_rar.c in libarchive before 3.4.0 has a use-after-free in a certain ARCHIVE_FAILED situation, related to Ppmd7_DecodeSymbol,” reads the description of the issue.
A vulnerabilidade já foi corrigida com o lançamento da versão 3.4.0.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.