Compactador 7-Zip: falha pode gerar invasões no Windows

Compactador 7-Zip

Compactador 7-Zip, por ser popular e gratuito, teve uma vulnerabilidade de dia zero descoberta por um usuário do GitHub

O popular programa gratuito de compactação de arquivos, 7-Zip, teve uma vulnerabilidade de dia zero descoberta por um usuário do GitHub. Sendo assim, quando a falha é executada isso possibilita que invasores de internet possam escalonar os privilégios de acesso do Windows. Ou seja, ele pode executar comandos ou mesmo assumir o controle completo da máquina.

Falha no compactador 7-Zip

A falha no compactador 7-Zip descoberta pelo usuário Kagancapar do GitHub foi registrada com o código CVE-2022-29072. Ela pode ser executada a partir da movimentação de arquivos com a extensão proprietária do 7-Zip, .7z. E o que ocorre a seguir é arrastar para a janela de ajuda da aplicação, o que faz com que o Prompt de comando do Windows possa ser executado com privilégios de Administrador.

De acordo com o usuário do GitHub, a vulnerabilidade acontece por um overflow de memória quando arquivos .7z são jogados na sessão de ajuda do programa. E pode ser provavelmente gerado pelo modo que o 7-Zip foi codificado.

Sistema Microsoft Help

Em contrapartida, mesmo com a análise técnica do usuário do GitHub, os desenvolvedores da aplicação, oficialmente, afirmam que a falha tem mais a ver com o sistema Microsoft Help presente no Windows do que com o programa. Mas essa discussão pode perdurar ativa até que um relatório completo e detalhado sobre a falha seja divulgado.

Falha pode ser corrigida antes de atualização oficial

Por outro lado, ao considerar a relativa facilidade em abusar da falha do 7-Zip, ela pode ser um verdadeiro problema de privacidade e segurança para os usuários do Windows. Isso porque eles podem ter o controle da máquina sequestrado por criminosos que a explorarem.

Última versão do 7-Zip para o Windows

Por enquanto, a última versão do 7-Zip para o Windows, a v21.07, é compatível com a falha. Entretanto, mesmo nesse lançamento do programa e em versões anteriores, existem modos fáceis de mitigar o problema.

A primeira é apenas deletar o arquivo 7-zip.chm que fica na pasta de instalação do programa para bloquear a falha. Mas, se preferir não mexer nesses documentos, execute a aplicação somente com permissões de leitura e gravação que também impedirão seu abuso.

*Foto: Reprodução

Outras postagens

Postagens relacionadas

Últimas postagens

Fenatech: Veja como foi segunda edição do evento

Fenatech aconteceu em Brusque (SC), no Instituto Federal Catarinense, com debate sobre tecnologia, inovação e empreendedorismo A segunda edição da Fenatech foi realizada na semana...

Dengue nas periferias: Saúde adota tecnologia de contenção

Dengue nas periferias tem plano do Ministério da Saúde para implementar estações disseminaodoras de larvicida (EDL) Com o propósito de reduzir arboviroses, o Ministério da...

Inteligência Artificial do WhatsApp: 6 mitos e verdades

Inteligência Artificial do WhatsApp usa o modelo de linguagem Llama 3 Recentemente, a Meta AI iniciou suas operações no Brasil. A inteligência artificial (IA) usa...