7-Zip: grave falla su Windows, la patch non c'è

7-Zip: grave falla su Windows, la patch non c'è

È stata scovata una grave falla di sicurezza in 7-Zip per Windows per eseguire comandi con privilegi elevati usando i file di aiuto.
È stata scovata una grave falla di sicurezza in 7-Zip per Windows per eseguire comandi con privilegi elevati usando i file di aiuto.

7-Zip è uno dei più popolari programmi gratuiti su Windows per creare e aprire archivi compressi nel formato proprietario 7z, ma non solo. Ad usarlo sono in tantissimi, ecco perché il fatto che in esso sia stata scovata una falla per la quale manca ancora la patch desta tanta, anzi tantissima preoccupazione.

7-Zip: CVE-2022-29072 permette di eseguire comandi con privilegi elevati

Più precisamente, negli ultimi giorni, l’esperto di sicurezza Kağan Çapar ha trovato una falla in 7-Zip, siglata come CVE-2022-29072, che sui sistemi operativi dell’azienda di Redmond permette di eseguire comandi con privilegi elevati sfruttando i file di aiuto del software, trascinando un file creato ad hoc nella finestra che contiene la guida del programma, appunto.

Di seguito è presente un video dimostrativo della scoperta fatta.

Secondo l’esperto di sicurezza, il problema è riconducibile ad un’errata configurazione della libreria “7z.dll”. Ci si aspetta quindi che 7-Zip metta presto mano al proprio software e rilasci una versione corretta.

Quello che però gli utenti possono fare personalmente per evitare di incappare in problemi, in attesa della disponibilità di una soluzione ufficiale, è cancellare il file “7-zip.chm”, presente nella cartella “C:\Program Files\7-Zip” (per le versioni a 64 bit di Windows) o “C:\Program Files (x86)\7-Zip” (per le versioni a 32 bit di Windows), al fine di non rendere più disponibile l’Aiuto del programma e ridurre il grado di serietà della falla. È possibile che provando a cancellare il file in questione Windows chieda conferma dell’operazione per poi impedire l’accesso al file se la si nega: per procedere occorre premere il tasto “Continua” nella schermata che compare.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 21 apr 2022
Link copiato negli appunti