У вільному архіваторі 7-Zip виявлено вразливість (CVE-2022-29072), що дозволяє виконати довільні команди з привілеями SYSTEM через переміщення спеціально оформленого файлу з розширенням .7z в область з підказкою, що відображається при відкритті меню Help>Contents. Проблема проявляється лише на платформі Windows і викликана поєднанням неправильного налаштування бібліотеки 7z.dll та переповненням буфера.
Примітно, що після повідомлення про проблему розробники 7-Zip не визнали вразливість і заявили, що джерелом уразливості є процес Microsoft HTML Helper (hh.exe), який запускає код під час переміщення файлу. Дослідник, який виявив уразливість, вважає, що hh.exe лише опосередковано бере участь у експлуатації вразливості, а зазначена в експлоїті команда запускається в 7zFM.exe як дочірній процес. Причинами можливості проведення атаки через підстановку команд (command injection) називають переповнення буфера в процесі 7zFM.exe і неправильне налаштування прав для бібліотеки 7z.dll.
Як приклад продемонстровано приклад файлу довідки, що запускає cmd.exe. Також заявлено про підготовку експлоїту, що дозволяє отримати привілеї SYSTEM у Windows, але його код планують опублікувати після випуску оновлення 7-Zip з усуненням уразливості. Так як виправлення поки не опубліковані як обхідний шлях захисту пропонується обмежити програмі 7-zip доступ тільки можливістю читання та запуску.
Джерело: opennet.ru