Список уязвимостей, выявленных в компонентах Linux в 2019 г., пополнился багом в библиотеке сжатия данных. Обнаруженная экспертами Google уязвимость CVE-2019-18408 позволяет запускать произвольный код в целевой системе.

Многоформатная библиотека libarchive использует единый интерфейс для чтения и записи файлов в различных форматах сжатия. Этой библиотекой пользуются сразу несколько операционных систем, диспетчеров пакетов, архиваторов и файловых браузеров. CVE-2019-18408 затрагивает крупнейшие дистрибутивы Linux, в том числе, Debian, Ubuntu, ArchLinux, а также FreeBSD и NetBSD.

Библиотека используется и в Windows, и в macOS, но пользователи этих ОС — в безопасности. Сама по себе CVE-2019-18408 — типичный баг класса use-after-free (использование памяти после ее освобождения).

«В libarchive, мультиформатной библиотеке для архивирования и сжатия, было обнаружено использование указателей после освобождения памяти, что может приводить к отказу в обслуживании и выполнению произвольного кода в случае обработки специально сформированного архива», — говорится в описании проблемы на Debian.org.

Иными словами, для успешной эксплуатации уязвимости потребуется заставить конечного пользователя уязвимой системы открыть специально подготовленный архив. Для этого обычно и применяется фишинг.