CVE-2024-20697: Уязвимость удаленного выполнения кода в Windows Libarchive

Существует уязвимость переполнения целого числа в библиотеке Libarchive, включенной в Microsoft Windows, из-за недостаточных проверок границ для длины блока RARVM-фильтра, используемого для предварительной обработки Intel E8 в архиве RAR. Дистанционный злоумышленник может эксплуатировать эту уязвимость, убедив целевого пользователя в извлечении поддельного архива RAR, что потенциально может привести к произвольному выполнению кода в контексте приложения, использующего уязвимую библиотеку. Уязвимость связана с разбором архива RAR, который состоит из серии блоков переменной длины, каждый из которых начинается с заголовка. Уязвимость возникает, когда RARVM-фильтр с конкретным отпечатком пальца исполняется, вызывая переполнение целого числа в условии цикла функции execute_filter_e8(). Это переполнение приводит к доступам к памяти, выходящим за пределы кучи, представляющей память VM. Чтобы обнаружить атаку, эксплуатирующую эту уязвимость, устройство обнаружения должно мониторировать и разбирать трафик на общих портах, по которым может быть отправлен архив RAR, таких как FTP, HTTP, SMTP, IMAP, SMB и POP3. Устройство должно идентифицировать маркер RarBlock, заголовок ArcHeader и заголовок FileHeader, а затем разбирать сжатые данные файла. Устройство должно извлекать каждый блок в соответствии с алгоритмом, использованным для сжатия, и если встретится блок, сжатый с помощью алгоритма LZ, декодировать таблицы Хаффмана и символы. Если встретится символ 257, устройство должно разбирать последующие данные как RARVM-фильтр и вычислять размер поля Code. Затем устройство должно разбирать поле Code в соответствии с указанной структурой и читать числовые поля в соответствии с реализованным алгоритмом.