У вольным архіватары 7-Zip выяўленая ўразлівасць (CVE-2022-29072), якая дазваляе выканаць адвольныя каманды з прывілеямі SYSTEM праз перасоўванне адмыслова аформленага файла з пашырэннем .7z у вобласць c падказкай, паказванай пры адкрыцці меню «Help>Contents». Праблема выяўляецца толькі на платформе Windows і выклікана спалучэннем няслушнай налады бібліятэкі 7z.dll і перапаўненнем буфера.
Характэрна, што пасля апавяшчэння аб праблеме распрацоўнікі 7-Zip не прызналі ўразлівасць і заявілі, што крыніцай уразлівасці з'яўляецца працэс Microsoft HTML Helper (hh.exe), які запускае код пры перасоўванні файла. Даследнік, які выявіў уразлівасць, лічыць, што hh.exe толькі ўскосна ўдзельнічае ў эксплуатацыі ўразлівасці, а паказаная ў эксплоіце каманда запускаецца ў 7zFM.exe як даччыны працэс. Прычынамі магчымасці правядзення нападу праз падстаноўку каманд (command injection) называюцца перапаўненне буфера ў працэсе 7zFM.exe і няслушная настройка правоў для бібліятэкі 7z.dll.
У якасці прыкладу прадэманстраваны прыклад файла даведкі, які запускае "cmd.exe". Таксама заяўлена аб падрыхтоўцы эксплоіта, які дазваляе атрымаць прывілеі SYSTEM у Windows, але яго код плануюць апублікаваць пасля выпуску абнаўлення 7-Zip з ухіленнем уразлівасці. Бо выпраўленні пакуль не апублікаваныя ў якасці абыходнага шляху абароны прапануецца абмежаваць праграме 7-zip доступ толькі магчымасцю чытання і запуску.
Крыніца: opennet.ru