ఉచిత ఆర్కైవర్ 7-జిప్లో దుర్బలత్వం (CVE-2022-29072) గుర్తించబడింది, ఇది .7z పొడిగింపుతో ప్రత్యేకంగా రూపొందించిన ఫైల్ను తెరిచేటప్పుడు చూపబడిన సూచనతో ప్రాంతానికి తరలించడం ద్వారా SYSTEM అధికారాలతో ఏకపక్ష ఆదేశాలను అమలు చేయడానికి అనుమతిస్తుంది. “సహాయం>విషయాలు” మెను. సమస్య Windows ప్లాట్ఫారమ్లో మాత్రమే కనిపిస్తుంది మరియు 7z.dll తప్పు కాన్ఫిగరేషన్ మరియు బఫర్ ఓవర్ఫ్లో కలయిక వలన ఏర్పడింది.
సమస్య గురించి తెలియజేయబడిన తర్వాత, 7-జిప్ డెవలపర్లు హానిని గుర్తించలేదు మరియు ఫైల్ను తరలించినప్పుడు కోడ్ని అమలు చేసే మైక్రోసాఫ్ట్ HTML హెల్పర్ ప్రాసెస్ (hh.exe) దుర్బలత్వానికి మూలం అని పేర్కొంది. దుర్బలత్వాన్ని గుర్తించిన పరిశోధకుడు hh.exe దుర్బలత్వాన్ని ఉపయోగించుకోవడంలో పరోక్షంగా మాత్రమే పాల్గొంటుందని నమ్ముతారు మరియు దోపిడీలో పేర్కొన్న ఆదేశం 7zFM.exeలో చైల్డ్ ప్రాసెస్గా ప్రారంభించబడింది. 7zFM.exe ప్రక్రియలో బఫర్ ఓవర్ఫ్లో మరియు 7z.dll లైబ్రరీ హక్కుల యొక్క తప్పు సెట్టింగ్లు కమాండ్ ఇంజెక్షన్ ద్వారా దాడి చేసే అవకాశం యొక్క కారణాలు చెప్పబడ్డాయి.
ఉదాహరణగా, "cmd.exe"ని అమలు చేసే నమూనా సహాయ ఫైల్ చూపబడింది. Windowsలో SYSTEM అధికారాలను పొందేందుకు వీలు కల్పించే దోపిడీని సిద్ధం చేయనున్నట్లు కూడా ప్రకటించబడింది, అయితే దీని కోడ్ దుర్బలత్వాన్ని తొలగించే 7-జిప్ అప్డేట్ విడుదలైన తర్వాత ప్రచురించబడుతుంది. పరిష్కారాలు ఇంకా ప్రచురించబడనందున, రక్షణ కోసం ఒక ప్రత్యామ్నాయంగా, 7-జిప్ ప్రోగ్రామ్ యొక్క యాక్సెస్ని చదవడానికి మరియు అమలు చేయడానికి మాత్రమే పరిమితం చేయాలని ప్రతిపాదించబడింది.
మూలం: opennet.ru