Уязвимость в библиотеке Libarchive, с помощью которой удаленный пользователь может выполнять произвольный код и взламывать целевую систему, была обнаружена исследователями в сфере информационной безопасности Роком Стивенсом и Эндрю Руефом.
Проблема затрагивает все версии Libarchive до 3.1.2. Кроме того, ей могут быть подвержены операционные системы, в состав которых включен Libarchive: Arch Linux, Chrome OS, Debian, FreeBSD и Gentoo.
Как указано в уведомлении компьютерной группы реагирования на чрезвычайные ситуации университета Карнеги-Меллон, источником существования проблемы является ошибка в процедуре обработки zip-файлов. Используя уязвимость, злоумышленник может с помощью сформированного специальным образом архива спровоцировать переполнение динамической памяти и выполнить произвольный код на системе. Чтобы успешно воспользоваться уязвимостью, необходимо участие атакуемого пользователя.
На сайте разработчиков библиотеки уже опубликована новая версия Libarchive 3.2.0, в которой устранена выявленная уязвимость. Специалисты советуют пользователям оперативно осуществить загрузку и установку обновления.