20/04/22
Архиватор 7-Zip содержит опасную уязвимость, позволяющую захватить системные права в оболочке Windows. Проблема безопасности дает возможность пользователю, имеющему ограниченные права на ПК, поднять уровень привилегий до администратора, сообщает портал Tom’s Hardware.
На прошлой неделе исследователь Каган Чапар раскрыл информацию об уязвимости в 7-Zip, которая может привести к повышению привилегий и выполнению команд. Уязвимость CVE-2022-29072 затрагивает пользователей Windows, использующих версию 21.07 – последнюю на данный момент.
Эксплуатация данной уязвимости предполагает перемещение особым образом сконфигурированного файла с расширением .7z в область графического интерфейса приложения, где размещается подсказка, выводимая при открытии системного меню в разделе Help и подменю Contents. Согласно имеющимся данным, проблема возникает из-за неверной настройки прав для библиотеки 7z.dll и переполнения буфера.
После получения сообщения о проблеме создатели архиватора отказались признавать факт наличия уязвимости. Они указали, что проблема провоцируется процессом hh.exe, созданном Microsoft. Специалисты уверены, что такого рода процесс имеет косвенную связь с использованием уязвимости.
