இலவச காப்பகமான 7-ஜிப்பில் ஒரு பாதிப்பு (CVE-2022-29072) கண்டறியப்பட்டுள்ளது, இது .7z நீட்டிப்புடன் சிறப்பாக வடிவமைக்கப்பட்ட கோப்பைத் திறக்கும் போது காட்டப்படும் குறிப்புடன் பகுதிக்கு நகர்த்துவதன் மூலம் தன்னிச்சையான கட்டளைகளை SYSTEM சலுகைகளுடன் செயல்படுத்த அனுமதிக்கிறது. "உதவி> உள்ளடக்கங்கள்" மெனு. சிக்கல் Windows இயங்குதளத்தில் மட்டுமே தோன்றும் மற்றும் 7z.dll தவறான உள்ளமைவு மற்றும் இடையக வழிதல் ஆகியவற்றின் கலவையால் ஏற்படுகிறது.
சிக்கலைப் பற்றி அறிவிக்கப்பட்ட பிறகு, 7-ஜிப் டெவலப்பர்கள் பாதிப்பை ஒப்புக் கொள்ளவில்லை மற்றும் பாதிப்பின் ஆதாரம் மைக்ரோசாஃப்ட் HTML ஹெல்ப்பர் செயல்முறை (hh.exe) என்று கூறியது குறிப்பிடத்தக்கது, இது கோப்பை நகர்த்தும்போது குறியீட்டை இயக்குகிறது. பாதிப்பைக் கண்டறிந்த ஆராய்ச்சியாளர், hh.exe மறைமுகமாக பாதிப்பைச் சுரண்டுவதில் மட்டுமே ஈடுபட்டுள்ளது என்று நம்புகிறார், மேலும் சுரண்டலில் குறிப்பிடப்பட்ட கட்டளை 7zFM.exe இல் ஒரு குழந்தை செயல்முறையாக தொடங்கப்பட்டது. கட்டளை ஊசி மூலம் தாக்குதல் நடத்துவதற்கான சாத்தியக்கூறுகள் 7zFM.exe செயல்பாட்டில் இடையக வழிதல் மற்றும் 7z.dll நூலகத்திற்கான உரிமைகளின் தவறான அமைப்புகளாகும்.
உதாரணமாக, "cmd.exe" ஐ இயக்கும் மாதிரி உதவி கோப்பு காட்டப்பட்டுள்ளது. விண்டோஸில் SYSTEM சலுகைகளைப் பெற அனுமதிக்கும் ஒரு சுரண்டல் தயாரிக்கப்படும் என்றும் அறிவிக்கப்பட்டுள்ளது, ஆனால் பாதிப்பை நீக்கும் 7-ஜிப் புதுப்பிப்பு வெளியான பிறகு அதன் குறியீடு வெளியிட திட்டமிடப்பட்டுள்ளது. திருத்தங்கள் இன்னும் வெளியிடப்படாததால், பாதுகாப்பிற்கான ஒரு தீர்வாக, 7-ஜிப் நிரலின் அணுகலைப் படிக்கவும் இயக்கவும் மட்டும் கட்டுப்படுத்த முன்மொழியப்பட்டது.
ஆதாரம்: opennet.ru