7-Zip è uno dei più popolari programmi gratuiti su Windows per creare e aprire archivi compressi nel formato proprietario 7z, ma non solo. Ad usarlo sono in tantissimi, ecco perché il fatto che in esso sia stata scovata una falla per la quale manca ancora la patch desta tanta, anzi tantissima preoccupazione.
7-Zip: CVE-2022-29072 permette di eseguire comandi con privilegi elevati
Più precisamente, negli ultimi giorni, l’esperto di sicurezza Kağan Çapar ha trovato una falla in 7-Zip, siglata come CVE-2022-29072, che sui sistemi operativi dell’azienda di Redmond permette di eseguire comandi con privilegi elevati sfruttando i file di aiuto del software, trascinando un file creato ad hoc nella finestra che contiene la guida del programma, appunto.
Di seguito è presente un video dimostrativo della scoperta fatta.
Secondo l’esperto di sicurezza, il problema è riconducibile ad un’errata configurazione della libreria “7z.dll”. Ci si aspetta quindi che 7-Zip metta presto mano al proprio software e rilasci una versione corretta.
Quello che però gli utenti possono fare personalmente per evitare di incappare in problemi, in attesa della disponibilità di una soluzione ufficiale, è cancellare il file “7-zip.chm”, presente nella cartella “C:\Program Files\7-Zip” (per le versioni a 64 bit di Windows) o “C:\Program Files (x86)\7-Zip” (per le versioni a 32 bit di Windows), al fine di non rendere più disponibile l’Aiuto del programma e ridurre il grado di serietà della falla. È possibile che provando a cancellare il file in questione Windows chieda conferma dell’operazione per poi impedire l’accesso al file se la si nega: per procedere occorre premere il tasto “Continua” nella schermata che compare.
Ti potrebbe interessare
21 apr 2022