Foi encontrada uma vulnerabilidade no arquivador 7-Zip através do qual qualquer pessoa pode obter direitos de sistema no Windows

Uma vulnerabilidade (CVE-2022-29072) foi identificada no popular arquivador 7-Zip gratuito para a plataforma Windows, cuja exploração permite que um usuário local com direitos limitados eleve o nível de privilégio no sistema para o nível SYSTEM. De acordo com os dados disponíveis, o problema afeta todas as versões atuais do aplicativo, incluindo o 7-Zip 21.0.

Fonte da imagem: Pixabay

A exploração da vulnerabilidade mencionada envolve a movimentação de um arquivo especialmente configurado com a extensão .7z para a área da interface gráfica do aplicativo, onde uma dica de ferramenta é exibida ao abrir o menu do sistema na seção Ajuda e no submenu Conteúdo. Segundo relatos, o problema ocorre devido a permissões incorretas para a biblioteca 7z.dll e um estouro de buffer.

Curiosamente, após serem notificados do problema, os desenvolvedores do arquivador não reconheceram a existência da vulnerabilidade. Em vez disso, eles afirmaram que o problema foi causado pelo processo Microsoft HTML Helper (hh.exe), que executa o código quando o arquivo é movido. No entanto, os pesquisadores acreditam que o referido processo está envolvido apenas indiretamente na exploração da vulnerabilidade.

Na verdade, a origem do problema é provavelmente um estouro de buffer no processo 7zFM.exe e uma configuração incorreta dos direitos da biblioteca 7z.dll. Os administradores que usam um arquivador são aconselhados a excluir o arquivo de ajuda do 7-zip.chm e restringir os direitos de leitura e execução de todos os usuários do 7-Zip. Essa opção pode ser usada até que os desenvolvedores do arquivador liberem um patch apropriado que elimine a vulnerabilidade CVE-2022-29072.

avalanche

Postagens recentes

As autoridades indianas exigiram que o Telegram tome medidas decisivas em 15 dias para combater a disseminação de conteúdo pirateado.

Em junho, as autoridades reguladoras indianas já haviam bloqueado temporariamente o Telegram, alegando a necessidade…

14 minutos atrás

A NVIDIA disponibilizou discretamente a plataforma Omniverse gratuitamente, mas há um porém.

A NVIDIA anunciou discretamente mudanças no licenciamento da plataforma NVIDIA Omniverse. De acordo com a…

6 horas atrás

Veado e Menino – Uma História Quase Disney. Resenha

Processador Intel Core i5-7400 3.0 GHz / AMD Ryzen 3 1200 3.1 GHz, 16 GB…

6 horas atrás

A Ampera imprimiu em 3D um pequeno reator de tório para alimentar centros de dados.

A startup americana Ampera anunciou o desenvolvimento do primeiro módulo de reator nuclear impresso em…

17 horas atrás

A Samsung pretende se tornar uma fabricante líder de chips de IA, incorporando as tecnologias Anthropic e Meta.

A Samsung Electronics está fortalecendo sua posição como um dos principais players no mercado de…

18 horas atrás