ปีนี้เราได้รับ ความหวาดกลัว เกี่ยวกับความปลอดภัยที่ส่งผลกระทบต่อไลบรารี ZX-Utils นั่นคือเหตุผลที่การรู้ว่านักพัฒนาปฏิเสธช่องโหว่ใน 7-Zip ถือเป็นข่าวดี แม้ว่าจะต้องดำเนินการด้วยความระมัดระวังก็ตาม
หลายคนกังวลว่าโครงการที่สำคัญขึ้นอยู่กับไลบรารีโอเพ่นซอร์สที่ดูแลรักษาด้วยทรัพยากรน้อย และนักพัฒนาน้อยกว่าด้วยซ้ำ พวกเขาเป็นเป้าหมายที่สมบูรณ์แบบสำหรับข้อผิดพลาดอันเนื่องมาจากความประมาทเลินเล่อหรือความมุ่งร้าย
ไลบรารี 7-Zip คืออะไรและมีไว้เพื่ออะไร?
7-Zip เป็นซอฟต์แวร์บีบอัดไฟล์โอเพ่นซอร์ส- เริ่มได้รับการพัฒนาโดย Igor Pavlov ในปี 1999 เมื่อเวลาผ่านไป มันกลายเป็นทางเลือกฟรีแทนโซลูชันที่เป็นกรรมสิทธิ์ เช่น WinZip หรือ WinRar สำหรับการบีบอัดและขยายขนาดไฟล์ มันถูกใช้ทั้งโดยผู้ใช้รายบุคคลและโดยบริษัทพัฒนาซอฟต์แวร์
นอกจากรูปแบบของตัวเองแล้วนั้น ให้อัตราการบีบอัดที่ดีกว่าทางเลือกเชิงพาณิชย์, เข้ากันได้กับรูปแบบต่อไปนี้:
- XZ
- bzip2
- GZIP
- TAKE
- ZIP
- WI
- JRA
- คณะกรรมการที่ปรึกษา
- CHM
- CPIO
ข้อดีของการใช้งานคือ:
- อัตราการบีบอัดสูง: รูปแบบ 7z ดั้งเดิมมีอัลกอริธึมการบีบอัดที่ให้อัตราส่วนการบีบอัดที่ดีกว่ามาก ซึ่งมีประโยชน์สำหรับการทำงานกับข้อมูลจำนวนมาก
- บูรณาการกับ Windows Shell: โปรแกรมทำงานร่วมกับเมนูบริบทของ Windows ทำให้ผู้ใช้สามารถเข้าถึงฟังก์ชันต่างๆ ได้อย่างง่ายดายด้วยการคลิกขวาที่ไฟล์
- การรักษาความปลอดภัย: 7-Zip อนุญาตให้เข้ารหัสไฟล์โดยใช้ AES-256 สามารถถอดรหัสได้โดยใช้รหัสผ่านเท่านั้น
- มีให้สำหรับลินุกซ์ ในที่เก็บข้อมูล รวมถึงบนระบบที่ใช้ Unix อื่น ๆ
ปัญหาด้านความปลอดภัย (ควร)
มาเริ่มกันเลยดีกว่า เมื่อเราพูดถึงช่องโหว่แบบ Zero-day เรากำลังหมายถึงข้อบกพร่องในซอฟต์แวร์ที่นักพัฒนาและผู้ใช้ไม่รู้จัก.. เราหมายถึงช่องโหว่ที่อาชญากรคอมพิวเตอร์สามารถนำไปใช้ประโยชน์เพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาตและรับข้อมูลหรือก่อให้เกิดความเสียหาย
ปรากฎว่าบนโซเชียลเน็ตเวิร์กของ Elon Musk ผู้ใช้ที่ระบุตัวเองว่า "NSA_Employee39" อ้างว่า 7-ZIP เวอร์ชันล่าสุดมีการใช้ประโยชน์แบบ Zero-day ซึ่งเมื่อผู้ใช้บีบอัดหรือขยายขนาดไฟล์ จะอนุญาตให้ผู้โจมตีสามารถรันโค้ดที่กำหนดเองได้ ปัญหาคือตัวถอดรหัส LZMA และนี่คือคำอธิบายอื่น
LZMA เป็นตัวย่อสำหรับบางสิ่งในภาษาสเปนที่เราแปลได้ว่า "อัลกอริทึมลูกโซ่ Lempel-Ziv Markov" เป็นอัลกอริธึมที่ 7-Zip และโปรแกรมอื่นๆ ใช้ในการบีบอัดไฟล์ ตามชื่อของมันบ่งบอกว่า ตัวถอดรหัส LZMA จะย้อนกลับกระบวนการโดยสร้างไฟล์ต้นฉบับขึ้นมาใหม่
พวกเขาปฏิเสธช่องโหว่ใน 7-Zip
ในส่วนข้อบกพร่องของฟอรัมสนทนาของโครงการ Igor Pavlov ปฏิเสธโพสต์:
“รายงานบน Twitter นี้ไม่เป็นความจริง ฉันไม่เข้าใจว่าทำไมผู้ใช้ Twitter รายนี้จึงออกแถลงการณ์เช่นนั้น..»
ฉันไม่ได้ตั้งใจที่จะเจาะลึกการอภิปรายทางเทคนิคที่ตามมาระหว่างผู้ใช้ X และ Pavlov โดยพื้นฐานแล้วความขัดแย้งก็คือผู้ร้องเรียนอ้างว่าช่องโหว่นั้นอยู่ในฟังก์ชันที่ผู้พัฒนายืนยันว่าไม่ได้ใช้โปรแกรม
ในขณะนี้ ยังไม่มีการยืนยันโดยหน่วยงานอิสระเกี่ยวกับการมีอยู่ของช่องโหว่
พวกเราทำอะไรได้บ้าง?
ในกรณีของ 7-Zip เราจะต้องรอดูว่าลีนุกซ์ที่เราใช้ทำอะไร โดยปกติแล้วจะค่อนข้างรวดเร็วในการเผยแพร่แพตช์หากจำเป็น เกี่ยวกับการหาประโยชน์โดยทั่วไป เราสามารถปฏิบัติตามคำแนะนำเหล่านี้:
- อัปเดตซอฟต์แวร์ให้ทันสมัยอยู่เสมอ: โดยทั่วไป ช่องโหว่ส่วนใหญ่ที่ถูกค้นพบนั้นถูกค้นพบโดยนักวิจัย ดังนั้นจึงมีการอัปเดตก่อนที่อาชญากรจะนำไปใช้ประโยชน์ได้ วิธีที่ดีที่สุดคือเปิดใช้งานการอัปเดตอัตโนมัติ
- ใช้แพ็คเกจที่มีในตัวเอง: แพคเกจในรูปแบบ Snap, Flatpak และ Appimage ไม่ได้เชื่อมต่อกับส่วนสำคัญของระบบปฏิบัติการ นอกจากนี้ยังมีแนวโน้มที่จะได้รับการอัปเดตบ่อยกว่าโปรแกรมในคลังข้อมูล
- ทำสำเนาความปลอดภัย: แม้ว่าจะเป็นการดีกว่าที่จะป้องกัน หากมีการโจมตีเกิดขึ้น ควรมีแผนสำรอง