Uma vulnerabilidade (CVE-2022-29072) foi identificada no popular arquivador 7-Zip gratuito para a plataforma Windows, cuja exploração permite que um usuário local com direitos limitados eleve o nível de privilégio no sistema para o nível SYSTEM. De acordo com os dados disponíveis, o problema afeta todas as versões atuais do aplicativo, incluindo o 7-Zip 21.0.
A exploração da vulnerabilidade mencionada envolve a movimentação de um arquivo especialmente configurado com a extensão .7z para a área da interface gráfica do aplicativo, onde uma dica de ferramenta é exibida ao abrir o menu do sistema na seção Ajuda e no submenu Conteúdo. Segundo relatos, o problema ocorre devido a permissões incorretas para a biblioteca 7z.dll e um estouro de buffer.
Curiosamente, após serem notificados do problema, os desenvolvedores do arquivador não reconheceram a existência da vulnerabilidade. Em vez disso, eles afirmaram que o problema foi causado pelo processo Microsoft HTML Helper (hh.exe), que executa o código quando o arquivo é movido. No entanto, os pesquisadores acreditam que o referido processo está envolvido apenas indiretamente na exploração da vulnerabilidade.
Na verdade, a origem do problema é provavelmente um estouro de buffer no processo 7zFM.exe e uma configuração incorreta dos direitos da biblioteca 7z.dll. Os administradores que usam um arquivador são aconselhados a excluir o arquivo de ajuda do 7-zip.chm e restringir os direitos de leitura e execução de todos os usuários do 7-Zip. Essa opção pode ser usada até que os desenvolvedores do arquivador liberem um patch apropriado que elimine a vulnerabilidade CVE-2022-29072.
A NASA anunciou o acesso gratuito para todos ao programa Exoplanet Watch (“Observação de exoplanetas”).…
A Coffee Stain Publishing e os desenvolvedores do estúdio dinamarquês Ghost Ship Games resumiram os…
A MSI expandiu sua gama de monitores de jogos de pontos quânticos com a introdução…
A Gigabyte expandiu seu portfólio SSD M.2 com a nova série Aorus Gen4 7300 SSD.…
A Roccat lançou um teclado compacto de membrana para jogos Magma Mini. A novidade usa…
No início de janeiro, soube-se que a jovem montadora americana Rivian produziu 24.337 veículos elétricos…