Niegan vulnerabilidad en 7-Zip

Desmienten vulnerabilidades en 7-Zip


Este año recibimos un susto en materia de seguridad que afectaba a la biblioteca ZX-Utils. Es por eso que saber que los desarrolladores niegan vulnerabilidad en 7-Zip es una buena noticia, auque hay que tomarla con precaución.

A muchos les preocupa que proyectos críticos dependan de bibliotecas de código abierto mantenidas con pocos recursos y aún menos desarrolladores. Son el blanco perfecto para errores por negligencia o maldad.

Qué es y para que sirve la biblioteca 7-Zip

7-Zip es un software de compresión de archivos de código abierto. Comenzó a ser desarrollado por Igor Pavlov en el año1999. Con el tiempo se fue convirtiendo  en la alternativa libre y gratuita a soluciones privativas como WinZip o WinRar para la compresión y descompresión de archivos. Es usada tanto por usuarios individuales como por empresas desarrolladoras de software.

Además de su propio formato que ofrece una mejor tasa de compresión que las alternativas comerciales, es compatible entre otros con los siguientes formatos:

  • XZ
  • BZIP2
  • GZIP
  • TAR
  • ZIP
  • WIM
  • ARJ
  • CAB
  • CHM
  • CPIO

Entre las ventajas de usarlo están:

  • Alta Tasa de Compresión: El formato nativo 7z cuenta con algoritmos de compresión que brindan ratios de compresión mucho mejores que resultan útiles para trabajar con grandes cantidades de datos.
  • Integración con el Shell de Windows: El programa se integra con el menú contextual de Windows, facilitando a los usuarios el acceder a las funciones pulsando con el botón derecho sobre el archivo.
  • Seguridad: 7-Zip permite el cifrado de archivos mediante AES-256. Solo es posible descifrarlo usando la contraseña.
  • Disponible para Linux en los repositorios. También en otros sistemas basados en Unix.

El (supuesto) problema de seguridad

Comencemos diciendo que cuando hablamos de un exploit de día cero nos referimos a una falla en el software que es desconocida por los desarrolladores y usuarios.. Estamos refiriéndonos a vulnerabilidades que pueden ser explotadas por delincuentes informáticos que las usar para obtener acceso no autorizado a sistemas y conseguir información o causar daños.

Resulta que en la red social de Elon Musk, un usuario que se identifica a si mismo como «NSA_Employee39»  afirmó que la última versión de 7-ZIP tiene un exploit de día cero que cuando el usuario comprime o descomprime un archivo, permite a los ataantes ejecutar código arbitrario. El problema es el decodificador LZMA. Y, acá vamos con otra explicación.

LZMA es una sigla de algo que en español podemos traducir como»Algoritmo de cadena de Markov de Lempel-Ziv». Es el algoritmo que usa 7-Zip y otros programas para comprimir los archivos. Como su nombre lo indica, un decodificador LZMA reverte el proceso reconstruyendo el archivo original

Niegan vulnerabilidad en 7-Zip

En la sección de errores del foro de discusión del proyecto, Igor Pavlov desmintió el posteo:

«Este informe en Twitter es falso. No entiendo por qué este usuario de Twitter hizo tal afirmación..»

No pretendo profundizar en la discusión técnica posterior entre el usuario de X y Pavlov. Básicamente el desacuerdo estriba en que el denuciante afirma que la vulnerabilidad está en una función que el desarrollador insiste que el programa no utiliza.

Por el momento no hay confirmaciones independientes de la existencia de la vulnerabilidad.

¿Qué podemos hacer?

En el caso de 7-Zip habrá esperar a ver que hacen las distribuciones Linux que usamos. Estas suelen ser bastante rápidas en publicar parches si son necesarios. Con respecto a los exploits en general. Podemos seguir estos consejos:

  • Mantener el software actualizado: En general la mayoría de las vulnerabilidades que se descubren lo son por investigadores por lo que las actualizaciones están disponibles antes de que puedan ser aprovechadas por delincuentes. Lo mejor es activar las actualizaciones automáticas.
  • Usar paquetes autocontenidos: Los paquetes en formatos Snap, Flatpak y Appimage no se conectan con partes críticas del sistema operativo. Además, suelen actualizarse en forma más frecuente que los programas de los repositorios.
  • Realizar copias de seguridad: Aunque más vale prevenir. En caso de que se produzcan ataques, es bueno tener un plan de respaldo.


from Ubunlog https://ift.tt/8us3ESz

Comentarios

Publicar un comentario

Entradas populares de este blog

Mozilla Firefox 114.0.1

Imagen
Clic en las imágenes para ampliar Sitio web: Mozilla Actualizado: 09/06/2023 Sistemas: Windows (7/8/10/11) Linux, macOS, Android, iOS Licencia: De código abierto Categoría: Herramientas de Internet Navegadores web Puntuaciones del usuario: Nota: Hay una valoración incrustada en esta entrada, por favor, visita esta entrada para valorarla. Descargar ahora ¿Qué hay de nuevo? Noticias de Firefox Firefox Browser es un navegador web gratuito, de código abierto, rápido, potente y seguro . Tiene muchas características excelentes que incluyen bloqueo de ventanas emergentes, navegación por pestañas, búsqueda integrada, características de privacidad mejoradas, actualización automática y más. El programa incluye administración fácil de marcadores, herramientas de desarrollo web y administrador de descargas incorporado. El bloqueo inteligente de contenido para anuncios y rastreadores está disponible tanto en modo de navegación estándar como ...
Leer más

Nubank libero las licencias de su base de datos Datomic

Imagen
Datomic es una base de datos distribuida diseñada para habilitar aplicaciones escalables, flexibles e inteligentes, que se ejecutan en arquitecturas de nube de próxima generación. Hace ya varios días se dio a conocer la noticia de que Nubank, la empresa estadounidense que adquirió Cognitect y propietaria de las principales plataformas de banca digital, decidió liberar todas las versiones de Datomic, su base de datos distribuida. Con este anuncio, Datomic ahora está liberado bajo la licencia Apache 2.0 y está disponible para su descarga directa y uso a través de Maven Central, sin necesidad de registrarse, ademas de que Datomic Cloud estará disponible en AWS Marketplace sin costo de software adicional. Sobre Datomic Datomic se describe como: Un sistema propietario de gestión de bases de datos. Es un SGBD operativo, es decir, permite actualizaciones en tiempo real. En lugar de asignar y sobrescribir valores en atributos con nombre, Datomic realiza un seguimiento de todos...
Leer más

#ViernesDeEscritorio 01Dic23: El nuestro y un Top 10 de terceros

Imagen
ViernesDeEscritorio 01Dic23: El nuestro y un Top 10 de terceros Hoy viernes, 01 de diciembre de 2023 , por primera vez en este mes, continuamos participando en la divertida e interesante celebración linuxera sobre Internet (RRSS/Telegram) de los Viernes de Escritorio. En la cual, mostramos nuestro Escritorio GNU/Linux y nuestro nivel de personalización linuxera. Es decir, hoy celebraremos un nuevo «ViernesDeEscritorio – 01Dic23» . Y para variar el formato de costumbre, de utilizar un solo fondo de pantalla, hoy estaremos utilizando varios nuevos y hermosos fondos de pantalla creados por IA con un estilo de pingüino Hacker. ViernesDeEscritorio 24Nov23: El nuestro y un Top 10 de terceros Pero, antes de iniciar este primer post de diciembre para celebrar el «ViernesDeEscritorio – 01Dic23» , les recomendamos que luego exploren la anterior publicación relacionada con dicha celebración: ViernesDeEscritorio – 01Dic23: Top 10 Escritorios del día Nuestro Pantallazo del ViernesDeE...
Leer más