De vez em quando, uma vulnerabilidade de segurança é descoberta em um programa com pouca alarde, apesar do fato de estar oculta à vista de um software em que muitas pessoas dependem.
Um bom exemplo é libarchive, que tem uma falha descoberta pelos pesquisadores do Google em maio, usando as ferramentas de ‘fuzzing’ ClusterFuzz e OSSFuzz e corrigida pelos mantenedores da libarchive em 12 de junho na versão 3.4.0.
Libarchive, para quem não conhece, é uma biblioteca de compactação e arquivamento originalmente desenvolvida para o FreeBSD que alcançou ampla popularidade porque funciona como um manipulador de arquivos compactados que faz tudo, suportando formatos de arquivo e compactação, incluindo ZIP, gzip, tar, uuencode, 7z , Microsoft CAB, ISO9660 (imagens de CD) e muito mais.
Também é usado pelo Debian, Ubuntu, Gentoo, Arch Linux e Chromebook Chrome OS, além de ferramentas como o conjunto de interoperabilidade Samba Linux-Windows, que agora estão recebendo o patch de junho.
Faz parte do macOS da Apple e do Windows 10 da Microsoft, embora nenhum dos dois seja afetado pela vulnerabilidade.
O bug é identificado como CVE-2019-18408, um bug de alta prioridade ‘usar após livre’ ao lidar com um arquivo com falha.
Nenhuma exploração do mundo real foi detectada, mas, se existisse, ela tentaria usar um arquivo malicioso para induzir um estado de negação de serviço ou a execução arbitrária de códigos.
Obviamente, isso define um nível baixo para um invasor, que recebe uma classificação CVSS de 7,5. No entanto, o verdadeiro incômodo deste é simplesmente o volume inconveniente de software que o utiliza, que agora deve ser corrigido.
Dado que o Google descobriu o problema, suspeitamos que o Chrome OS tenha sido corrigido silenciosamente durante o verão, mas isso ainda deixa o Debian , Ubuntu e muitos outros em atividade.
Dada a variedade de softwares que usam libarchive, há muito para os atacantes apontarem se há algum atraso.
Também não é o primeiro problema de segurança que o libarchive sofreu nos últimos tempos. Uma vulnerabilidade semelhante surgiu em 2016 que levou ao CVE-2016-1541.
Como com esse bug, não há atenuações de curto prazo – portanto, a resposta é atualizar o mais rápido possível.