[Insolite] Quand un chercheur montre les méfaits d'une "ZIP bomb" via quelques 4,5 Pétaoctets de données !

Parfois nommée "ZIP de la mort" ou "ZIP de décompression", cette prouesse du genre est à nouveau mis sur le devant de la scène par David Fifield, qui s'est amusé à créer un fichier ZIP de 46 Mo dont la décompression unique fait éclater un flot de données décompressées... à hauteur de 4,5 Pétaoctets de données !

 

Bien évidemment, cette prouesse (qui, au passage, surligne une faille dans le logiciels de compression !) ne date pas d'hier puisqu'il existait déjà un tel cas via le fameux fichier 42.zip qui permettait, de manière récursive, de décompresser progressivement (mais non en une seule fois : il fallait plusieurs étapes de décompressions-logicielles intermédiaires pour déployer progressivement la masse de données) quelques 4,5 Go de données.

Dans un soucis d'optimisation (le chercheur a étudié le meilleur ratio entre la taille nominale et la taille de décompression maximale : pour les détails, cf. le billet détaillé en bas de news), un fichier de zippé de 46 Mo a été choisit et, basé toujours sur la même technique que le 42.zip (avec les imbrications en mode poupées-Russes), l'ensemble permet, de manière non-récursive, de décompresser 4,5 Pétaoctets de données, ce qui fera très vite saturer les disques durs d'un particulier lambda avec toutes les problématiques-système que cela comporte comme le dépassement-mémoire.

Mise à part trois éditeurs de solutions sécuritaires (dont Kaspersky), l'ensemble ne détecte pas (quand l'anti-virus ne mouline pas dans le vide) la menace. La faille a été assignée côté UnZIP via la référence CVE-2019-13232... A veiller !

 

Source : David Fifield - 2 Juillet 2019 - ZIP bomb de 4,5 Pétaoctets non-recursive.