AfterDawn logo

7-ZIP -pakkausohjelmassa tietoturva-aukko, joka antaa ylläpitäjän oikeudet Windowsiin

Petteri Pyyny Petteri Pyyny
1 kommentti

Yksi maailman suosituimmista ZIP-tiedostojen käsittelyyn tarkoitetuista ohjelmista on avoimen lähdekoodin 7-ZIP. Ohjelman Windows-versiosta on löydetty haavoittuvuus, joka mahdollistaa tietokoneen käyttäjätasojen ohittamisen.

7-ZIP itsessään on useammallakin eri käyttöjäjestelmällä toimiva, äärimmäisen luotettu pakkausohjelmisto. Mutta ohjelman Windows-versiosta on paljastunut ikävä haavoittuvuus. Haavoittuvuus liittyy siihen, miten 7-ZIP käyttää Windowsin sisäistä käyttöohjeiden ohjelmaa (hh.exe) ohjelman sisäisten käyttöohjeiden näyttämiseen.

Tietyllä tavalla räätälöidyn .7z -tiedoston raahaminen ohjelman käyttöohjeiden ikkunaan avaa Windowsin suojana olevat käyttäjätasot ja sallii muiden ohjelmien suorittamisen järjestelmän ylläpitäjänä.

Alla video, jossa temppu tehdään:


Tällä hetkellä ohjelman uusinkaan versio ei vielä paikkaa löytynyttä haavoittuvuutta, mutta ongelmaan on olemassa helppo ratkaisu. 7-ZIPin ohjelmahakemistosta löytyvän ohjetiedoston 7-zip.chm:n poistaminen kokonaan ehkäisee aukon hyödyntämistä. Samalla toki katoavat ohjelman sisäiset käyttöohjeet, mutta ohjeita 7-ZIPin käyttöön löytyy toki netistä runsaasti muutenkin.

Luonnollisesti myös Windows itsessään osaa nykyisin avata .zip -tiedostoja, joten tarve 7-ZIPille itselleen on varsin vähäinen perustason kuluttajakäytössä.

Tietoturva-aukon tarkempi kuvaus löytyy täältä (aukon löytäjän omalla äidinkielellä eli turkiksi).

1 KOMMENTTI

OneMember1/1

Näyttää tämä CVE-2022-29072 haavoittuvuus olevan kyseenalaistettu.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki