7-Zip jest dziurawy… czy aby na pewno?

Kilka portali branżowych napisało o nowej podatności w menedżerze plików 7-Zip. Ma on pozwalać na uzyskanie praw administratora za pomocą okienka pomocy. Źródłem tej informacji jest krótkie ogłoszenie odkrywcy dziury, napisane łamaną angielszczyzną. Wątpliwości jest więcej.

Nie pasuje tu przede wszystkim teoria. Jeżeli 7-Zip pozwala uzyskać prawa administracyjne, to dziura znajduje się nie w nim, a w Windowsie. 7-Zip może najwyżej używać jakiegoś składnika systemowego w nieodpowiedzialny sposób lub pozwalać wykonywać kod tam, gdzie nie trzeba – ale podniesienie uprawnień to bez wątpienia rola systemu operacyjnego. Osobliwością jest twierdzić inaczej.

Wykonanie kodu poprzez przeciągnięcie spreparowanego pliku na okno Pomocy wynika z beztroskiej obsługi formatu CHM, kontenera na pliki pomocy, rysowanego przez systemową aplikację HH.EXE. Pliki CHM to skompresowane zestawy statycznych stron WWW wyświetlanych w strefie lokalnej. HH wykorzystuje w tym celu, a jakże, Internet Explorera. Obecność w strefie lokalnej oznacza oczywiście pełny dostęp do systemu i brak ograniczeń/piaskownic.

Skłonienie HH do wykonania kodu tworzy proces potomny, ale pochodzący nie z HH, a z samego 7-Zipa. Przeprowadzenie takiej operacji wymaga nie tylko lokalnego, ale wręcz interaktywnego dostępu do komputera. CHM cierpi na te same problemy, co HTA: został źle wymyślony, a teraz zbyt wiele programów z niego korzysta. 7-Zip powinien lepiej znosić konsekwencje tego faktu i nie pozwalać na groźne forkowanie procesu, ale nie jest głównym winnym.

Sprzeciw

Podobnego zdania jest Tavis Ormandy, ekspert ds. bezpieczeństwa, uznający opisywanie problemu jako „dziurę w 7-Zip pozwalającą uzyskać prawa administratora” za nadużycie. Nie przeszkodziło to paru dużym graczom publicystyki IT w obraniu strony autora zgłoszenia, mimo braków formalnych w dowodzie. TechCruch w dodatku poszedł dalej, sugerując, że problem powinna naprawić „firma” rozwijająca produkt (?), jakim jest 7-Zip.

Zidentyfikowaną podatnością nie należy się szczególnie przejmować, nie ma powodu wyczekiwać aktualizacji. Ale warto mieć najnowszą wersję 7-Zipa. Nowe wersje dostarczają poprawki wydajności, a sam program (co jest dziś rzadkością) nie popada w cyfrową otyłość. Mieści się na dyskietce.

Podziel się postem:

Najnowsze:

Bezpieczeństwo

CSIRT KNF ostrzega. Cyberprzestępcy podszywają się pod PKO BP

Klienci PKO Banu Polskiego muszą mieć się na baczności. CSIRT KNF ostrzega przed nową kampanią phishingową, w której cyberprzestępcy wykorzystują wizerunek największego polskiego banku. Kampanię przygotowano z dbałością o szczegóły, więc łatwo się nabrać.

Nauka

Nowy model OpenAI ,,Orion” zadebiutuje jeszcze w 2024 roku

OpenAI planuje wydanie następcy obecnych modeli GPT-4o i o1. Jak donosi redakcja The Verge, nowy model ma nosić nazwę Orion. Z przekazanych informacji wynika, że model ten początkowo nie będzie powszechnie dostępny. OpenAI ma w pierwszej kolejności przyznać dostęp do Oriona firmom, z którymi ściśle współpracuje.

Mobilne

Android 15 wreszcie wydany! Oto główne nowości

Google wystartował z procesem aktualizacyjnym do Androida 15 dokładnie 63 dni po premierze smartfonów z linii Pixel 9 oraz 42 dni po upublicznieniu kodu źródłowego. Tak długiego poślizgu nie było jeszcze nigdy, ale można mieć nadzieję, że oprogramowanie przynajmniej zostało solidnie doszlifowane. Sam spędziłem z nim już kilkanaście godzin (wkrótce pierwsze wrażenia) i póki co nie uświadczyłem żadnych błędów.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *