V bezplatnom archivátore 7-Zip bola identifikovaná chyba zabezpečenia (CVE-2022-29072), ktorá umožňuje vykonávať ľubovoľné príkazy so SYSTÉMOVÝMI oprávneniami presunutím špeciálne navrhnutého súboru s príponou .7z do oblasti s nápovedou zobrazenou pri otvorení v ponuke „Pomocník>Obsah“. Problém sa vyskytuje iba na platforme Windows a je spôsobený kombináciou nesprávnej konfigurácie 7z.dll a pretečenia vyrovnávacej pamäte.
Je pozoruhodné, že po upozornení na problém vývojári 7-Zip neuznali zraniteľnosť a uviedli, že zdrojom zraniteľnosti bol proces Microsoft HTML Helper (hh.exe), ktorý spúšťa kód pri presune súboru. Výskumník, ktorý identifikoval zraniteľnosť, sa domnieva, že hh.exe sa na využívaní zraniteľnosti podieľa iba nepriamo a príkaz špecifikovaný v exploite sa spúšťa v 7zFM.exe ako podriadený proces. Príčinou možnosti vykonať útok prostredníctvom príkazového vstrekovania je údajne pretečenie vyrovnávacej pamäte v procese 7zFM.exe a nesprávne nastavenie práv pre knižnicu 7z.dll.
Ako príklad je zobrazený vzorový súbor pomocníka, ktorý spúšťa "cmd.exe". Je tiež oznámené, že bude pripravený exploit, ktorý umožní získať SYSTEM privilégiá vo Windows, ale jeho kód sa plánuje zverejniť po vydaní aktualizácie 7-Zip, ktorá túto zraniteľnosť eliminuje. Keďže opravy ešte neboli zverejnené, ako riešenie ochrany sa navrhuje obmedziť prístup programu 7-zip len na čítanie a spustenie.
Zdroj: opennet.ru