近日,国家信息安全漏洞库(CNNVD)收到关于手机程序第三方解压缩库输入验证安全漏洞(CNNVD-201805-440)情况的报送。成功利用该漏洞的攻击者,可以远程读取应用数据、甚至执行任意代码,具体危害与受影响应用的功能和权限相关。iOS平台内置第三方解压缩库(经验证,包括但不限于SSZipArchive和ZipArchive两种库)的应用均可能受漏洞影响,安卓平台中使用第三方解压缩库进行解压缩的应用,如果没有对解压缩路径进行检查的可能也会受到漏洞影响。目前,相关厂商暂未发布解决方案,但可通过临时解决措施缓解漏洞造成的危害。
一、漏洞介绍
手机程序第三方解压缩库输入验证安全漏洞存在于使用了第三方解压缩库的应用中。漏洞源于手机程序中的第三方解压缩库,在解压zip压缩包时并未对“../”进行过滤。手机程序在调用第三方解压缩库解压zip压缩包时未对解压路径进行检查,当从不安全的来源获得zip格式压缩包文件并解压缩时,如果该zip压缩文件被劫持插入恶意代码,可能导致任意代码执行。
二、危害影响
成功利用漏洞的攻击者,可以远程读取应用数据、甚至执行任意代码,具体危害与受影响应用的功能和权限相关。iOS平台内置第三方解压缩库(经验证,包括但不限于SSZipArchive和ZipArchive两种库)的应用均可能受漏洞影响,安卓平台中使用第三方解压缩库进行解压缩的应用,如果没有对解压缩路径进行检查的可能也会受到漏洞影响。
三、修复建议
目前,相关厂商暂未发布解决方案,但可通过临时解决方案缓解漏洞造成的危害,具体措施如下:
1.在解压缩时对最终路径做“../”文件名和符号链接的过滤。 2.使用 https 下载资源,或者对下载的文件进行校验防止被恶意修改。
CNNVD简介
国家信息安全漏洞库(CNNVD)是中国信息安全测评中心为切实履行漏洞分析和风险评估职能,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。经过几年的建设与运营。
CNNVD在信息安全漏洞搜集、重大漏洞信息通报、高危漏洞安全消控等方面发挥了重大作用,为我国重要行业和关键基础设施安全保障工作提供了重要的技术支撑和数据支持。通过自主挖掘、社会提交、协作共享、网络搜集以及技术检测等方式,经过多年的收录工作。
CNNVD已收录信息技术产品漏洞信息九万余条,信息系统相关漏洞信息十万多条,漏洞信息覆盖国内外主流的应用软件、操作系统和网络设备等,涉及国内外各大厂商上千家,涵盖政府、金融、交通、工控、卫生医疗等多个行业。
随着CNNVD漏洞库漏洞数量不断扩大、影响力逐步提升,目前成为收录漏洞数目最多、漏洞属性最全、内容质量最高的国家级信息安全漏洞库。
