Nalezená chyba v programu 7-Zip udělí útočníkovi práva admina
Ale bez obav, není to tak hrozné a řešení situace je poměrně snadné. Mezitím se jistě objeví update.
7-Zip je oblíbený archivační program, který nabízí rychlou, účinnou kompresi a navíc je zcela zdarma. Bohužel ani tento software nebyl ušetřen potenciálních děr. Odhalený bug je popsán jako „privilege escalation and command execution“, čili chmaták se může domoci vyšších práv než má a díky tomu by byl schopen spouštět nežádoucí programy. Chyba má kód CVE-2022-29072 a podrobnosti jsou zde a video s chybou níže.
Chyba je vázána pouze na Windows, protože spoléhá na spolupráci s integrovaným Help systémem (hh.exe). Celý podfuk spočívá v tom, že přetáhnete archiv 7z do okna pomoci programu 7-Zip. Nemusí jít o korektní archiv, stačí jen změnit koncovku souboru. Díky tomu se spustí příkazový řádek a rovnou s vyššími právy.
Než bude 7-Zip opraven (současná verze je 21.07), jsou dvě metody, jak mít klid.
1) smazat soubor 7-zip.chm
2) nastavit 7-Zip, aby mohl pouze spouštět a číst, nikoli zapisovat
zdroj: tomshardware
