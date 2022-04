La versione per i sistemi operativi Windows dell'applicazione per la compressione dei file 7-Zip presenterebbe attualmente una vulnerabilità particolarmente grave che gli sviluppatori del progetto non avrebbero ancora risolto.

7-Zip è un'alternativa Open Source ad applicazioni commerciali come WinZip e WinRAR, propone inoltre un proprio formato di compressione ( 7z Format ) che oltre ad essere particolarmente efficiente supporta la cifratura AES-256 ed è basato su un'architettura aperta.

La vulnerabilità di 7-Zip

Per quanto riguarda la falla venuta alla luce nelle scorse ore, quest'ultima sarebbe stata individuata quasi per caso da un utente (Kağan Çapar) della piattaforma di code hosting GitHub, dove tra l'altro è presente il repository che contiene il codice sorgente del software.

In pratica spostando un file appositamente confezionato per condurre un attacco nella schermata che contiene la guida dell'applicazione (voce di menu "Aiuto"), un utilizzatore potrebbe acquisire i privilegi di amministratore di sistema.

Alla base della problematica vi dovrebbe essere un difetto di configurazione a carico della libreria 7z.dll .

Tutti i passaggi necessari per completare la procedura sono mostrati nel breve video proposto di seguito.

Le soluzioni in attesa di una patch

Fortunatamente un'azione come quella descritta in precedenza non può essere condotta da remoto, caratteristica che rende molto difficile sfruttare la vulnerabilità su larga scala. Per caricare il file malevolo infatti si deve poter accedere al terminale target.

In attesa di una patch risolutiva esistono due modalità per mettere al riparo il proprio PC da eventuali minacce interne:

verificare che 7-Zip si autorizzato ad operare soltanto in lettura ed esecuzione; rimuovere il file 7-zip.chm impedendo così l'accesso all'area di Aiuto.

Per quanto riguarda il primo metodo è necessario assicurarsi che le nuove impostazioni di 7-Zip abbiano valore per tutti gli utenti attivi sul sistema.