Под ударом оказались более 350 000 проектов с открытым исходным кодом
Неисправленная уязвимость в языке программирования Python теперь представляет серьезную угрозу для сотен тысяч проектов. Уязвимость, известная как CVE-2007-4559, была обнаружена пятнадцать лет назад, но считалась малоопасной, поэтому и не была исправлена (хотя разработчикам выдали предупреждение об уязвимости).
Уязвимость CVE-2007-4559 существует в функциях «extract» и «extractall» в модуле tarfile Python. Это ошибка обхода пути, которая позволяет злоумышленникам перезаписывать произвольные файлы, загружая вредоносный tar-файл. Затем этот tar-файл можно запустить, предоставив злоумышленнику контроль над данным устройством.
Компания Trellix, специалисты которой и обнаружили уязвимость, создала свой инструмент под названием Creosote, помогающий искать CVE-2007-4559. Именно с его помощью исследователи обнаружили уязвимость в Spyder Python IDE и Polemarch. Кроме того, эксперты Trellix уже подготовили исправления более чем для 11 000 проектов. Исследователи ожидают, что более 70 000 репозиториев получат исправления в ближайшие несколько недель.
Хотя этот недостаток языка Python представляет серьезную угрозу, он, похоже, еще не был использован. Исследователи надеются, что проекты будут исправлены до того, как злоумышленники смогут воспользоваться уязвимостью.
ЧИТАЙТЕ ТАКЖЕ:
- Распространенные виды мошенничества с криптовалютой и как от них защититься
- Блокировка карт за «сомнительные операции»: Какие ограничения внедрили украинские банки на время военного положения
- Хакеры выяснили, что Telegram раскрывает местоположение пользователя