Popüler arşivleme programı 7-zip’te bir güvenlik açığı keşfedildi. Bu, aktif bir sıfır gün güvenlik açığıdır ve ayrıcalık yükseltmeye ve komut yürütmeye izin vermesiyle karakterize edilir. Başka bir deyişle, bilgisayarınıza sınırlı erişimi olan biri, komutları veya uygulamaları çalıştırmak için genellikle yönetici erişimi olmak üzere daha yüksek düzeyde kontrol elde edebilir. GitHub kullanıcısı Kagancapar, bu 7-zip Windows güvenlik açığını ortaya çıkarmış görünüyor ve referansı var. CVE-2022-29072.
7-zip platformlar arası bir uygulamadır, ancak bu güvenlik açığı Windows’a bağlıdır, çünkü 7-zip’in Windows yardım uygulaması hh.exe ile etkileşimine dayanır. Örneğin, CVE-2022029072 için GitHub beni oku dosyası, “Windows, .7z uzantılı bir dosya Yardım>İçindekiler alanına sürüklendiğinde ayrıcalık yükseltme ve komut yürütmeye izin verir.”
Yukarıdaki klip, .7z uzantılı (7-zip dosya uzantısını taklit eden) özel hazırlanmış bir dosyayı 7-zip yardım penceresine bırakan ve yönetici modunda bir komut çalıştıran güvenlik açığı keşfedicisini göstermektedir. Bu, bir sisteme daha yüksek düzeyde erişim elde etmenin ve aksi takdirde yasak olabilecek komutları ve uygulamaları çalıştırmanın oldukça basit bir yolu gibi görünüyor.
Kagancapar, güvenlik açığı ve keşfi hakkında bazı aydınlatıcı arka plan bilgileri verdi. İlk olarak, Microsoft Yardım sistemine bağlı göründüğü için 7-zip’in bu güvenlik açığının sorumluluğunu üstlenmekten tamamen memnun olmadığını belirtiyorlar. Ancak, Yardım penceresine özel .7z uzantılı dosyanın bırakılması, 7zFM.exe’de bir yığın taşmasına ve bunun sonucunda ayrıcalık yükselmesine neden olur – bu, 7-zip yazarlarının suçun bir kısmını kabul etmesi gerektiği anlamına gelir.
yazımı yazarken 7-zip’in mevcut sürümü Windows için v21.07, videoda gösterilen güvenlik açığı nedeniyle yamalanmamıştır. Kişisel bilgisayarınız veya yönettiğiniz sistemlerle ilgili olarak güvenlik açığı sizi endişelendiriyorsa, lütfen sorunu hafifletmenin iki kolay yolundan biraz rahatlayın:
- İlk yöntem: 7-zip güncellenmezse, 7-zip.chm dosyasının silinmesi güvenlik açığını kapatmak için yeterli olacaktır.
- İkinci yöntem: 7-zip programı yalnızca okuma ve çalıştırma izinlerine sahip olmalıdır. (Bütün kullanıcılar için)
7-zip, kıtlıklarda WinZip ve WinRAR’ın suçluluk uyandıran shareware sıkıştırma zımbaları olan skinflint’in hegemonyasını kırdı. Birkaç yıllık iyileştirmeden sonra, 2013 yılında sıkıştırma hızı, oranı ve boyutu için Tom’s Hardware Elite Ödülü’ne layık görüldü. Kişisel veya iş kullanımı için tamamen ücretsiz olmasının yanı sıra, çapraz platform yapısı ve taşınabilirliği ile 7 fermuarlı tılsımlar .