به گزارش کارگروه امنیت خبرگزاری سایبربان، بر اساس پستی در شبکه اجتماعی ایکس (X)، حساب تأییدشده این کاربر اعلام کرد که قصد دارد در تمام این هفته آسیبپذیریهای روز صفر را منتشر کند تا از دنبالکنندگان جدید خود، که تعدادشان کمی بیش از 1400 نفر است، تشکر کند.
اولین مورد از این آسیبپذیریها، به گفته او، یک آسیبپذیری اجرای کد دلخواه (ACE) در نرم افزار 7-زیپ (7-ZIP) بود؛ نوعی آسیبپذیری که به مهاجم اجازه میدهد هر کدی را که بخواهد روی دستگاه قربانی اجرا کند.
او همچنین ادعا کرد که کد بهرهبرداری (Exploit Code) مربوطه را در وبسایت پیست بین (Pastebin) بارگذاری کرده است.
توضیحات همراه با حدود ۹۰ خط کد مشکوک، بیان میکنند که این کد از یک آرشیو دستکاریشده با یک جریانLZMA معیوب برای ایجاد شرایط سرریز بافر در تابعRC_NORM استفاده میکند.
با این حال، علیرغم هیجان اولیه، هیچکس تاکنون موفق نشده است این کد بهرهبرداری را اجرا کند یا حتی آن را شبیه به یک بهرهبرداری واقعی بداند.
یکی از کارشناسان امنیتی به طعنه پاسخ داد:
شاید من بیاستعدادم، اما فکر نمیکنم این واقعی باشد.
ایگور پاولوف، توسعهدهنده 7-زیپ، پاسخ صریحتری داد و در بخش گزارش باگهای انجمن بحث و گفتوگوی این نرم افزار نوشت:
این گزارش در توییتر جعلی است. و من نمیفهمم چرا این کاربر توییتر چنین کاری کرده است. هیچ آسیبپذیری اجرای کد دلخواهی در 7-ZIP / LZMA وجود ندارد.
حساب@NSA_Employee39 هنوز به این موضوع در شبکههای اجتماعی پاسخی نداده است.
