Популярный бесплатный архиватор 7-Zip оказался небезопасен — в его коде обнаружена уязвимость, угрожающая компьютеру. Об этом написали несколько российских СМИ, в частности OpenNet.ru.

7-Zip — небольшая утилита для Windows, которая позволяет работать с архивами, при этом не требуя денег или длительной установки и настройки. Приложение полностью бесплатно и пользуется заслуженной популярностью среди пользователей ПК.

Согласно источнику, в 7-Zip версии 21 и новее обнаружена уязвимость нулевого дня, которая получила номер CVE-2022-29072. Её эксплуатация позволяет локальному пользователю с ограниченными правами получить полный доступ к компьютеру — то есть, повысить уровень своих привилегий до максимального. В результате человек, оказавшийся за нашим компьютером, может сделать всё что захочет, в том числе и серьезно навредить вам. 

Чтобы провернуть такую схему, требуется с определенной последовательностью переместить специальный файл с расширением .7z внутрь утилиты. При этом процессе возникает ошибка библиотеки 7z.dll и буфер переполняется. 

На данный момент разработчики 7-Zip не признали ошибку — они утверждают, что проблема кроется не в их продукте, а в самой Windows. По их мнению, на самом деле переполнение буфера вызывает ошибка в работе hh.exe (Microsoft HTML Helper). Эксперты не отрицают причастности hh.exe к проблеме, но считают, что этот процесс виновен лишь частично.

В любом случае проблема пока не исправлена и уязвимость CVE-2022-29072 всё еще угрожает пользователям 7-Zip. Чтобы обезопасить себя, рекомендуется либо удалить файл помощи 7-zip.chm и ограничить права пользователей утилиты, либо вовсе удалить ее и подождать, пока «дыра» будет закрыта.

Ранее мы рассказали, что Роскомнадзор собирается создать национальную систему защиты россиян от взломов.