W darmowym archiwizatorze 7-Zip zidentyfikowano lukę (CVE-2022-29072), która umożliwia wykonanie dowolnych poleceń z uprawnieniami SYSTEMOWYMI poprzez przeniesienie specjalnie zaprojektowanego pliku z rozszerzeniem .7z do obszaru z podpowiedzią wyświetlaną przy otwieraniu menu „Pomoc>Spis treści”. Problem pojawia się tylko na platformie Windows i jest spowodowany kombinacją błędnej konfiguracji 7z.dll i przepełnienia bufora.
Warto zauważyć, że po otrzymaniu powiadomienia o problemie twórcy 7-Zip nie potwierdzili istnienia luki i stwierdzili, że źródłem luki jest proces Microsoft HTML Helper (hh.exe), który uruchamia kod podczas przenoszenia pliku. Badacz, który zidentyfikował lukę, uważa, że hh.exe jest jedynie pośrednio zaangażowany w wykorzystanie luki, a polecenie określone w exploitie jest uruchamiane w 7zFM.exe jako proces potomny. Za przyczyny możliwości przeprowadzenia ataku poprzez wstrzyknięcie polecenia podaje się przepełnienie bufora w procesie 7zFM.exe oraz nieprawidłowe ustawienie uprawnień do biblioteki 7z.dll.
Jako przykład pokazano przykładowy plik pomocy uruchamiający „cmd.exe”. Zapowiada się także, że przygotowany zostanie exploit pozwalający uzyskać uprawnienia SYSTEMOWE w systemie Windows, jednak publikacja jego kodu planowana jest po wydaniu aktualizacji 7-Zip eliminującej lukę. Ponieważ poprawki nie zostały jeszcze opublikowane, jako obejście zabezpieczające proponuje się ograniczenie dostępu programu 7-zip wyłącznie do odczytu i uruchamiania.
Źródło: opennet.ru