มีการค้นพบช่องโหว่ด้านความปลอดภัยในโปรแกรมบีบอัดไฟล์ยอดนิยมอย่าง 7-Zip ซึ่งอาจทำให้ระบบล่มได้ทันทีหากผู้ใช้เปิดไฟล์ RAR5 ที่ถูกออกแบบมาโดยเจตนาเพื่อเจาะระบบ โดยช่องโหว่นี้ถูกระบุในรหัส CVE-2025-53816 และมีผลกับเวอร์ชัน 24.09 ของโปรแกรม โดยเฉพาะในส่วนของตัวถอดรหัส RAR5 ที่เกิดข้อผิดพลาดในการจัดการหน่วยความจำ
นักวิจัยจาก GitHub Security Lab พบว่าฟังก์ชันหนึ่งในตัวถอดรหัสพยายามเติมข้อมูลศูนย์ (0) เพื่อซ่อมแซมไฟล์ที่เสีย แต่เกิดการคำนวณขนาดผิด ทำให้ไปเขียนข้อมูลเกินพื้นที่หน่วยความจำที่จัดไว้ ส่งผลให้เกิดการล้นบัฟเฟอร์แบบ heap ซึ่งสามารถทำให้โปรแกรมหยุดทำงาน หรือในบางกรณีอาจถึงขั้นระบบค้างหรือรีสตาร์ตทันที

แม้ว่าช่องโหว่นี้จะไม่สามารถใช้เจาะระบบเพื่อรันโค้ดอันตรายได้โดยตรง แต่การทำให้เครื่องล่มนั้นก็เพียงพอที่จะสร้างผลกระทบกับระบบงานที่ต้องพึ่งพา 7-Zip เช่น ระบบแบ็กอัปหรือโฟลว์งานอัตโนมัติ โดยเฉพาะในองค์กรที่จัดการไฟล์จำนวนมากจากแหล่งภายนอก
โชคดีที่ทางทีมพัฒนา 7-Zip ได้ออกเวอร์ชันแก้ไขแล้วคือ 25.00 เมื่อวันที่ 5 กรกฎาคมที่ผ่านมา แต่เนื่องจากตัวโปรแกรมไม่มีระบบอัปเดตอัตโนมัติ ผู้ใช้จึงต้องดาวน์โหลดมาติดตั้งเอง หากใครยังใช้เวอร์ชันเก่าอยู่ แนะนำให้อัปเดตโดยด่วน และระวังอย่าเปิดไฟล์ RAR5 จากแหล่งที่ไม่น่าเชื่อถือเพื่อความปลอดภัยของระบบครับ
ที่มา : gbhackers
Comment