DAJ CYNK

Windows i miliony użytkowników w tarapatach. Znany program ma wadę

Przemysław Banasiak

Aplikacje

Windows. Uwaga, miliony ludzi w tarapatach. Znany program ma wadę

Szalenie popularny program komputerowy ma nową lukę. Jest to poważne zagrożenie typu zero-day, które nadaje atakującemu uprawnienia administratora.

 

Każdy z nas inaczej korzysta z komputera, a więc używa też innych aplikacji. Tak czy siak są takie programy, które instaluje większość z nas. Bez różnicy, czy PC służy do pracy, zabawy czy przeglądania internetu. Jednym z nich jest 7-Zip, który służy do archiwizacji danych i pochwalić się może własnym formatem *.7z.

Luka dotyczy programu 7-zip i użytkowników Windowsa

Opisywany program wydano w 1999 roku. Jest otwartoźródłowy i całkowicie darmowy. Zarówno w przypadku użytkowników domowych, jak i biznesowych. Co więcej jego wydajność stoi na bardzo wysokim poziomie. Tym samym bez problemu wygryzł z rynku starszego, równie znanego WinRARa.

Zgodnie z najnowszymi informacjami użytkownicy 7-Zip mają powód do obaw. W programie odkryta została nowa luka, acz dotyczy ona tylko użytkowników Windowsa. Problem jest jednak poważny - atakujący może uzyskać uprawnienia administratora systemu.

Dziurę w zabezpieczeniach odkrył użytkownik GitHuba o pseudonimie Kagancapar. Oznaczona została jako CVE-2022-29072. Zgłoszona została już do twórców programu, ale problem nadal nie został wyeliminowany.

Opisywaną lukę typu zero-day wykorzystuje się niestety banalnie prosto, acz potrzebny jest dostęp do komputera. Cały proces widoczny jest na filmie powyżej. W skrócie należy uruchomić zakładkę "Pomoc" i przeciągnąć do nowego okna spreparowany plik z rozszerzeniem *.7z.

Twórcy 7-zip twierdzą, że luka nie jest ich winą, a problemem jest System Pomocy od Microsoftu. Faktycznie jednak upuszczenie odpowiednio przygotowanego pliku doprowadza do przepełnienia sterty (ang. heap overflow) w 7zFM.exe, a to skutkuje podniesieniem uprawnień użytkownika. Oznacza to więc, że 7-zip jak najbardziej ponosi część winy za zaistniałą sytuację.

I Ty z niego korzystasz! Popularny program z luką bezpieczeństwa

Jak na razie program nie został zaktualizowany. Najnowsza wersja na oficjalnej stronie nosi numer 21.07 i jest z 26 grudnia 2021 roku. Jak radzić sobie do czasu poprawki, zwłaszcza jeśli musicie korzystać z 7-zipa? Możliwe rozwiązania są dwa. Pierwszy z nich to ustawienie uprawnień programu 7-zip tylko na "odczyt i wykonywanie", dla wszystkich użytkowników. Drugi to usunięcie pliku "7-zip.chm".

Zobacz: Google wygrzebuje trupa. Pozazdrościł konkurencji
Zobacz: Oszukiwał "na BLIKA". Trafił na żonę policjanta

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Shutterstock, Kagancapar

Źródło tekstu: Kagancapar@GitHub

Przewiń w dół do następnego wpisu