A nyílt forráskódú 7-Zip nem véletlenül az egyik legnépszerűbb tömörítőprogram, hiszen már az 1999-es megjelenésekor is kiválóan tette a dolgát, azóta pedig csak még tovább csiszolták, így remek alternatíva a WinRAR mellett, egy ideje pedig a Linuxot is támogatja.
Most azonban egy komoly sérülékenységet fedeztek fel az Igor Pavlov által megalkotott programban, melyen keresztül a támadók magas szintű jogosultságot szerezhetnek a számítógépünk felett, ami akár kódok és appok futtatására is alkalmas lehet.
A CVE-2022-29072 sorszámon nyilvántartott sebezhetőség a 7-Zip 21.07-es verzióját érinti. A támadóknak egész pontosan nem is maga a szoftver, hanem a Windows enged utat, ha egy .7z kiterjesztésű fájlt húzunk a Windows Súgó (hh.exe) Tartalomjegyzék felületére. Az alábbi, rövid videón részletesen látható a művelet:
Cikkünk írásáig nem érkezett meg a hátsó kaput bezáró frissítés, de egy szimpla módszerrel magunk is gondoskodhatunk a védelemről: navigáljunk a 7-Zip telepítési mappájába, majd töröljük az itt található "7-Zip.chm" fájlt. Ez nem befolyásolja a szoftver működését, mindössze a Windows Súgó-ablakot teszi elérhetetlenné.