信息來源：FreeBuf

近日，國家信息安全漏洞庫（CNNVD）收到關(guān)于手機(jī)程序第三方解壓縮庫輸入驗(yàn)證安全漏洞（CNNVD-201805-440）情況的報(bào)送。成功利用該漏洞的攻擊者，可以遠(yuǎn)程讀取應(yīng)用數(shù)據(jù)、甚至執(zhí)行任意代碼，具體危害與受影響應(yīng)用的功能和權(quán)限相關(guān)。iOS平臺內(nèi)置第三方解壓縮庫（經(jīng)驗(yàn)證，包括但不限于SSZipArchive和ZipArchive兩種庫）的應(yīng)用均可能受漏洞影響，安卓平臺中使用第三方解壓縮庫進(jìn)行解壓縮的應(yīng)用，如果沒有對解壓縮路徑進(jìn)行檢查的可能也會受到漏洞影響。目前，相關(guān)廠商暫未發(fā)布解決方案,但可通過臨時(shí)解決措施緩解漏洞造成的危害。

一、漏洞介紹

手機(jī)程序第三方解壓縮庫輸入驗(yàn)證安全漏洞存在于使用了第三方解壓縮庫的應(yīng)用中。漏洞源于手機(jī)程序中的第三方解壓縮庫，在解壓zip壓縮包時(shí)并未對“../”進(jìn)行過濾。手機(jī)程序在調(diào)用第三方解壓縮庫解壓zip壓縮包時(shí)未對解壓路徑進(jìn)行檢查，當(dāng)從不安全的來源獲得zip格式壓縮包文件并解壓縮時(shí)，如果該zip壓縮文件被劫持插入惡意代碼，可能導(dǎo)致任意代碼執(zhí)行。

二、危害影響

成功利用漏洞的攻擊者，可以遠(yuǎn)程讀取應(yīng)用數(shù)據(jù)、甚至執(zhí)行任意代碼，具體危害與受影響應(yīng)用的功能和權(quán)限相關(guān)。iOS平臺內(nèi)置第三方解壓縮庫（經(jīng)驗(yàn)證，包括但不限于SSZipArchive和ZipArchive兩種庫）的應(yīng)用均可能受漏洞影響，安卓平臺中使用第三方解壓縮庫進(jìn)行解壓縮的應(yīng)用，如果沒有對解壓縮路徑進(jìn)行檢查的可能也會受到漏洞影響。

三、修復(fù)建議

目前，相關(guān)廠商暫未發(fā)布解決方案,但可通過臨時(shí)解決方案緩解漏洞造成的危害，具體措施如下：

1.在解壓縮時(shí)對最終路徑做“../”文件名和符號鏈接的過濾。 2.使用 https 下載資源，或者對下載的文件進(jìn)行校驗(yàn)防止被惡意修改。

本通報(bào)由CNNVD技術(shù)支撐單位——上海犇眾信息技術(shù)有限公司提供支持。

CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時(shí)發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。