信息來(lái)源：FreeBuf

近日，國(guó)家信息安全漏洞庫(kù)（CNNVD）收到關(guān)于手機(jī)程序第三方解壓縮庫(kù)輸入驗(yàn)證安全漏洞（CNNVD-201805-440）情況的報(bào)送。成功利用該漏洞的攻擊者，可以遠(yuǎn)程讀取應(yīng)用數(shù)據(jù)、甚至執(zhí)行任意代碼，具體危害與受影響應(yīng)用的功能和權(quán)限相關(guān)。iOS平臺(tái)內(nèi)置第三方解壓縮庫(kù)（經(jīng)驗(yàn)證，包括但不限于SSZipArchive和ZipArchive兩種庫(kù)）的應(yīng)用均可能受漏洞影響，安卓平臺(tái)中使用第三方解壓縮庫(kù)進(jìn)行解壓縮的應(yīng)用，如果沒(méi)有對(duì)解壓縮路徑進(jìn)行檢查的可能也會(huì)受到漏洞影響。目前，相關(guān)廠商暫未發(fā)布解決方案,但可通過(guò)臨時(shí)解決措施緩解漏洞造成的危害。

一、漏洞介紹

手機(jī)程序第三方解壓縮庫(kù)輸入驗(yàn)證安全漏洞存在于使用了第三方解壓縮庫(kù)的應(yīng)用中。漏洞源于手機(jī)程序中的第三方解壓縮庫(kù)，在解壓zip壓縮包時(shí)并未對(duì)“../”進(jìn)行過(guò)濾。手機(jī)程序在調(diào)用第三方解壓縮庫(kù)解壓zip壓縮包時(shí)未對(duì)解壓路徑進(jìn)行檢查，當(dāng)從不安全的來(lái)源獲得zip格式壓縮包文件并解壓縮時(shí)，如果該zip壓縮文件被劫持插入惡意代碼，可能導(dǎo)致任意代碼執(zhí)行。

二、危害影響

成功利用漏洞的攻擊者，可以遠(yuǎn)程讀取應(yīng)用數(shù)據(jù)、甚至執(zhí)行任意代碼，具體危害與受影響應(yīng)用的功能和權(quán)限相關(guān)。iOS平臺(tái)內(nèi)置第三方解壓縮庫(kù)（經(jīng)驗(yàn)證，包括但不限于SSZipArchive和ZipArchive兩種庫(kù)）的應(yīng)用均可能受漏洞影響，安卓平臺(tái)中使用第三方解壓縮庫(kù)進(jìn)行解壓縮的應(yīng)用，如果沒(méi)有對(duì)解壓縮路徑進(jìn)行檢查的可能也會(huì)受到漏洞影響。

三、修復(fù)建議

目前，相關(guān)廠商暫未發(fā)布解決方案,但可通過(guò)臨時(shí)解決方案緩解漏洞造成的危害，具體措施如下：

1.在解壓縮時(shí)對(duì)最終路徑做“../”文件名和符號(hào)鏈接的過(guò)濾。 2.使用 https 下載資源，或者對(duì)下載的文件進(jìn)行校驗(yàn)防止被惡意修改。

本通報(bào)由CNNVD技術(shù)支撐單位——上海犇眾信息技術(shù)有限公司提供支持。

CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時(shí)發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。