Petteri Pyyny
19. huhtikuuta, 2022 18:14
Yksi maailman suosituimmista ZIP-tiedostojen käsittelyyn tarkoitetuista ohjelmista on avoimen lähdekoodin 7-ZIP. Ohjelman Windows-versiosta on löydetty haavoittuvuus, joka mahdollistaa tietokoneen käyttäjätasojen ohittamisen.
7-ZIP itsessään on useammallakin eri käyttöjäjestelmällä toimiva, äärimmäisen luotettu pakkausohjelmisto. Mutta ohjelman Windows-versiosta on paljastunut ikävä haavoittuvuus. Haavoittuvuus liittyy siihen, miten 7-ZIP käyttää Windowsin sisäistä käyttöohjeiden ohjelmaa (hh.exe) ohjelman sisäisten käyttöohjeiden näyttämiseen.
Tietyllä tavalla räätälöidyn .7z -tiedoston raahaminen ohjelman käyttöohjeiden ikkunaan avaa Windowsin suojana olevat käyttäjätasot ja sallii muiden ohjelmien suorittamisen järjestelmän ylläpitäjänä.
Alla video, jossa temppu tehdään:
Tällä hetkellä ohjelman uusinkaan versio ei vielä paikkaa löytynyttä haavoittuvuutta, mutta ongelmaan on olemassa helppo ratkaisu. 7-ZIPin ohjelmahakemistosta löytyvän ohjetiedoston 7-zip.chm:n poistaminen kokonaan ehkäisee aukon hyödyntämistä. Samalla toki katoavat ohjelman sisäiset käyttöohjeet, mutta ohjeita 7-ZIPin käyttöön löytyy toki netistä runsaasti muutenkin.
Luonnollisesti myös Windows itsessään osaa nykyisin avata .zip -tiedostoja, joten tarve 7-ZIPille itselleen on varsin vähäinen perustason kuluttajakäytössä.
Tietoturva-aukon tarkempi kuvaus löytyy täältä (aukon löytäjän omalla äidinkielellä eli turkiksi).