icon 热门文章
- 关于第三方支付平... 2018-11-13
- 关于Oracle... 2018-11-13
- 上周关注度较高的... 2018-05-30
- 电子邮件加密工具... 2018-05-24
- CNNVD 关于... 2018-05-24
- 多品牌工业控制器... 2018-05-04
- 上周关注度较高的... 2018-05-04
- 关于Drupal... 2018-04-27
- 一例境外滥用我国... 2018-04-23
- 关于WebLog... 2018-04-19
icon 推荐文章
- 关于开展CQCERT... 2018-11-16
- 关于第三方支付平台J... 2018-11-13
- 关于Oracle W... 2018-11-13
- 2018年APCER... 2018-11-13
- 2018年FIRST... 2018-11-13
- 国家信息安全漏洞共享... 2018-10-25
- 网络安全信息与动态周... 2018-10-25
- 中国-东盟网络安全应... 2018-10-25
- 国家计算机网络应急技... 2018-10-09
- 网络安全信息与动态周... 2018-09-26
 
   所在位置: 首页 > 安全预警

CNNVD 关于手机程序第三方解压缩库输入验证安全漏洞情况的通报

信息来源: CNNVD 添加日期:2018-05-24 点击数: 162
 
 

近日,国家信息安全漏洞库(CNNVD)收到关于手机程序第三方解压缩库输入验证安全漏洞(CNNVD-201805-440)情况的报送。成功利用该漏洞的攻击者,可以远程读取应用数据、甚至执行任意代码,具体危害与受影响应用的功能和权限相关。iOS平台内置第三方解压缩库(经验证,包括但不限于SSZipArchive和ZipArchive两种库)的应用均可能受漏洞影响,安卓平台中使用第三方解压缩库进行解压缩的应用,如果没有对解压缩路径进行检查的可能也会受到漏洞影响。目前,相关厂商暂未发布解决方案,但可通过临时解决措施缓解漏洞造成的危害。

一、漏洞介绍

手机程序第三方解压缩库输入验证安全漏洞存在于使用了第三方解压缩库的应用中。漏洞源于手机程序中的第三方解压缩库,在解压zip压缩包时并未对“../”进行过滤。手机程序在调用第三方解压缩库解压zip压缩包时未对解压路径进行检查,当从不安全的来源获得zip格式压缩包文件并解压缩时,如果该zip压缩文件被劫持插入恶意代码,可能导致任意代码执行。

二、危害影响

成功利用漏洞的攻击者,可以远程读取应用数据、甚至执行任意代码,具体危害与受影响应用的功能和权限相关。iOS平台内置第三方解压缩库(经验证,包括但不限于SSZipArchive和ZipArchive两种库)的应用均可能受漏洞影响,安卓平台中使用第三方解压缩库进行解压缩的应用,如果没有对解压缩路径进行检查的可能也会受到漏洞影响。

三、修复建议

目前,相关厂商暂未发布解决方案,但可通过临时解决方案缓解漏洞造成的危害,具体措施如下:

1.在解压缩时对最终路径做“../”文件名和符号链接的过滤。 2.使用 https 下载资源,或者对下载的文件进行校验防止被恶意修改。

 

Copyright © 2012 国家计算机网络应急技术处理协调中心重庆分中心(重庆互联网应急中心)
技术支持:重庆衡信科技有限公司   渝ICP备08102962号-2

您是第 00001  位访问者!