Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La versione 26.00 di 7-Zip nasconde una vulnerabilità critica nel gestore NTFS che può portare a overflow dell’heap e potenziale esecuzione di codice arbitrario. Il problema, identificato come GHSL-2026-140, nasce da una sottoallocazione nel calcolo delle unità di compressione NTFS. Un singolo file costruito ad arte può bastare per innescare la catena di corruzione della memoria.
7-Zip, il celebre compressore di file, in particolare la versione 26.00 è stato aflitta da una vulnerabilità GHSL-2026-140 derivante da una sotto allocazione del buffer durante la gestione dei flussi compressi NTFS.
La funzione CInStream::GetCuSize() calcola la dimensione del buffer con uno shift a 32 bit. Quando i valori ClusterSizeLog >= 28 e CompressionUnit == 4 vengono combinati, assieme si arriva a uno shift di 32 bit.
Qui entra in gioco un comportamento indefinito del compilatore C++, che porta all’allocazione di un buffer di 1 byte invece di quello previsto. Il risultato è che un buffer molto piccolo viene utilizzato come se fosse gigantesco ed è da li che il tutto collassa.
| CVE | Severity | Sintesi vulnerabilità |
|---|---|---|
| CVE-2026-48095 | Alta (CVSS 8.8) | Heap overflow causato da sottoallocazione nel calcolo del buffer NTFS |
La vulnerabilità si manifesta quando un parser NTFS accetta delle immagini costruite ad hoc, dall’estensione del file. .zip o .7z possono essere interpretati come NTFS se la firma viene riconosciuta. Il flusso di esecuzione diventa quindi pericoloso:
Il punto più critico è che la l’operazione di lettura scrive dei dati controllati dall’attaccante direttamente nell’heap e questo porta ad una corruzione di oggetti interni e al possibile dirottamento della vtable.
Sui sistemi x86 e x64, questo comportamento cambia nei dettagli, ma non nella sostanza, infatti l’overflow si verifica comunque. Su macchine con sufficiente memoria l’allocazione dell’output buffer da 8 GB può andare a buon fine, lasciando comunque aperta la strada alla corruzione.
La ricerca è attribuita al team GHSL della GitHub Security Lab e al ricercatore Jaroslav Lobačevski, che ha documentato l’intera catena di exploit fino al controllo della memoria heap.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]