7-Zip е една от най-популярните програми за работа с архиви. Безплатна с отворен код, поддържаща различни архиви и предлагаща собствен формат - 7z, отличаващ се с висока компресия.
Сега в програмата е засечена уязвимост, категоризирана под номер CVE-2022-29072. Дупката позволява на недоброжелател с ограничени права да повиши привилегиите си до администраторски и в последствие да изпълнява различни команди. Проблемът засяга всички текущи версии на
7-Zip, включително последната 21.07.
Любопитно е, че разработчиците на архиватора не смятат, че уязвимостта е в тяхната програма, а посочват Microsoft HTML Help (hh.exe) за причинител. Въпреки това, външни изследователи са на мнение, че hh.exe само косвено участва в експлоатацията на уязвимостта.
Първата добра новина е, че дупката може да се експлоатира само локално, което значително стеснява кръга на възможни атаки. Втората добра новина е, че можете лесно да защитите системата си още преди разработчиците да пуснат обновление за 7-Zip, което да коригира проблема. Достатъчно е да изтриете ръчно помощния файл
7-zip.chm, който се намира в инсталационната директория на програмата.