На прошлой неделе исследователь Каган Чапар раскрыл информацию об уязвимости в 7-Zip, которая может привести к повышению привилегий и выполнению команд. Уязвимость CVE-2022-29072 затрагивает пользователей Windows, использующих версию 21.07 – последнюю на данный момент.
Эксплуатация данной уязвимости предполагает перемещение особым образом сконфигурированного файла с расширением .7z в область графического интерфейса приложения, где размещается подсказка, выводимая при открытии системного меню в разделе Help и подменю Contents. Согласно имеющимся данным, проблема возникает из-за неверной настройки прав для библиотеки 7z.dll и переполнения буфера.
После получения сообщения о проблеме создатели архиватора отказались признавать факт наличия уязвимости. Они указали, что проблема провоцируется процессом hh.exe, созданном Microsoft. Специалисты уверены, что такого рода процесс имеет косвенную связь с использованием уязвимости.