谷歌安全研究员发现 Libarchive 漏洞 影响Linux、FreeBSD和BSD

Debian，Ubuntu，Gentoo，Arch Linux，FreeBSD和NetBSD 使用的压缩库有一个漏洞，该漏洞可能使黑客能够在用户计算机上执行代码。

macOS和Windows操作系统不受该漏洞影响。

CVE-2019-18408

该漏洞影响了Libarchive（一个用于读取和创建压缩文件的库）。它是一个功能强大的多合一工具包，用于处理存档文件，该工具包还捆绑了其他Linux / BSD实用程序（例如tar，cpio和cat），使其成为各种操作的理想选择，也是其在操作中被广泛采用的原因系统。

上周，Linux和FreeBSD在发布更新（其中包含Libarchive补丁）之后公开了该漏洞的具体信息。

该漏洞的代号为CVE-2019-18408，攻击者可以通过文件在用户系统上执行代码。谷歌安全研究人员使用两个名为ClusterFuzz和OSS-Fuzz的自动代码测试工具识别了该漏洞，并且漏洞在Libarchive 3.4.0版本中得到了修复。

可能会更糟

使用Libarchive的操作系统和程序非常之多，这也给黑客提供了很多机会。

受影响的包括台式机和服务器操作系统，程序包管理器，安全实用程序，文件浏览器和多媒体处理工具。比如 pkgutils，Pacman，CMake，Nautilus，KDE的方舟和Samba。

尽管受影响的操作系统已推出更新，但其他应用程序中Libarchive的补丁程序状态目前未知。

值得庆幸的是，Windows和macOS这两种当今最受欢迎的操作系统均未受到影响。

消息来源：ZDNet， 译者：r4938n，校审：吴烦恼
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接