芬安全防毒軟體受7-Zip函式庫漏洞波及，存在遠端程式碼執行漏洞

由於芬安全（F-Secure）使用7-Zip函式庫來解壓縮Rar檔案，因此所有的Windows端點防護產品，皆存在遠端程式碼執行漏洞，包括消費者端產品F-Secure Anti-Virus以及企業面向的F-Secure Server Security都在影響範圍中，資安研究員David L.表示，這個漏洞與芬安全本身的功能無關，只要使用7-Zip函式庫解壓縮Rar的軟體都可能有這個臭蟲，即使採用ASLR與DEP防護技術都沒用。

芬安全的產品在早前還受到7-Zip臭蟲CVE-2017-17969、CVE-2018-5996和CVE-2018-10115的影響，但由於芬安全的防毒軟體採用位址空間配置隨機載入（Address space layout randomization，ASLR）技術，因此駭客很難利用這三個漏洞進行攻擊，但這個由CVE-2018-10115衍生的漏洞不一樣，David L.在這個漏洞實現了遠端程式碼攻擊。

基本上這個漏洞是在使用未初始化記憶體的情況下，允許駭客控制一大部份Rar解碼器的狀態，特別在使用Rar1解碼器的時候。而這個攻擊最厲害的地方在於，駭客只要透過靜態酬載（Payload）就能繞過了ASLR保護，並且使用一些解壓縮技巧，藉由洩漏的指標獲取某個模組的位置，然後將這個位置添加到準備好的返回導向程式設計（Return Oriented-Programming，ROP）鍊中。由於主要執行的檔案缺乏ASLR保護，因此駭客要利這個臭蟲的困難，就只在Rar解壓縮的限制內容的情況下進行Heap Massaging。

市面上不少防毒產品都有檔案系統微過濾器，會攔截系統中的檔案並進行掃描。芬安全的產品也有，但是這後臺運作的系統卻不會解壓縮E-mail收到得檔案，因此當使用者透過E-mail收到惡意的Rar檔案，除非手動啟動掃描才有可能受駭。而這個其實很矛盾，David L.認為，防毒軟體應該要掃描可疑的檔案，但這樣的設計剛好減少利用這個漏洞來被攻擊的可能。

David L.提到，芬安全的產品會攔截並自動掃描HTT[流量，而且在預設情況下會解壓縮壓縮檔，他們已經實做出了一個網頁，可以讓使用者無意間自動下載惡意檔案，並且在芬安全防毒軟體插手掃描時，對使用者電腦進行攻擊。

7zip針對這個漏洞已經釋出了新的修正版本，而新版的7zip 18.05不僅解決了這個漏洞，而且還在所有主要可執行檔案中使用ASLR技術。有另一家防毒軟體Malwarebytes的使用者，在其官方論壇貼文提問，想知道Malwarebytes的防毒軟體是否也存在這個漏洞風險，對此官方沒有直接回應，只說新版的程式包含的7zip函式庫使用18.05版本。

對於這樣的漏洞，David L.對芬安全提出了3個解緩問題的措施以強化產品，第一個是使用沙盒引擎，這能確保大部分程式碼不會擁有特殊執行權限，再來就是啟用現代Windows的CFG和ACG等漏洞減緩功能。最後他認為，芬安全的產品應該停止窺探使用者的HTTP流量，因為這功能很無用，駭客只要將HTTP切換成HTTPS就能規避芬安全的掃描。

David L.表示，這個漏洞並非直接發生在芬安全產品的功能上，只要是使用7-Zip函式庫來解壓縮Rar檔案的產品都可能存在這個問題，而且即便啟用ASLR以及DEP防護技術都沒用。