AfterDawn: IT-alan uutiset

7-ZIP -pakkausohjelmassa tietoturva-aukko, joka antaa ylläpitäjän oikeudet Windowsiin

Kirjoittaja Petteri Pyyny @ 19.4.2022 18:14 Kommentteja (1)

Suositussa ZIP-ohjelmassa vakava haavoittuvuus: Antaa ylläpito-oikeudet Windowsiin

Yksi maailman suosituimmista ZIP-tiedostojen käsittelyyn tarkoitetuista ohjelmista on avoimen lähdekoodin 7-ZIP. Ohjelman Windows-versiosta on löydetty haavoittuvuus, joka mahdollistaa tietokoneen käyttäjätasojen ohittamisen.
7-ZIP itsessään on useammallakin eri käyttöjäjestelmällä toimiva, äärimmäisen luotettu pakkausohjelmisto. Mutta ohjelman Windows-versiosta on paljastunut ikävä haavoittuvuus. Haavoittuvuus liittyy siihen, miten 7-ZIP käyttää Windowsin sisäistä käyttöohjeiden ohjelmaa (hh.exe) ohjelman sisäisten käyttöohjeiden näyttämiseen.

Tietyllä tavalla räätälöidyn .7z -tiedoston raahaminen ohjelman käyttöohjeiden ikkunaan avaa Windowsin suojana olevat käyttäjätasot ja sallii muiden ohjelmien suorittamisen järjestelmän ylläpitäjänä.

Alla video, jossa temppu tehdään:





Tällä hetkellä ohjelman uusinkaan versio ei vielä paikkaa löytynyttä haavoittuvuutta, mutta ongelmaan on olemassa helppo ratkaisu. 7-ZIPin ohjelmahakemistosta löytyvän ohjetiedoston 7-zip.chm:n poistaminen kokonaan ehkäisee aukon hyödyntämistä. Samalla toki katoavat ohjelman sisäiset käyttöohjeet, mutta ohjeita 7-ZIPin käyttöön löytyy toki netistä runsaasti muutenkin.

Luonnollisesti myös Windows itsessään osaa nykyisin avata .zip -tiedostoja, joten tarve 7-ZIPille itselleen on varsin vähäinen perustason kuluttajakäytössä.

Tietoturva-aukon tarkempi kuvaus löytyy täältä (aukon löytäjän omalla äidinkielellä eli turkiksi).

AfterDawnin diilit uutiskirjeenä!

Etsimme jatkuvasti hyviä tietotekniikan ja kännyköiden diilejä ympäri nettiä ja uutisoimme niistä sivuillamme. Jos haluat saada tiedon uusista diileistä heti sähköpostiisi, tilaa diilien uutiskirjeemme.

Tilaamalla uutiskirjeemme hyväksyt sääntömme ja tietosuojakäytäntömme.

Edellinen Seuraava Kirjoita kommentti

1 kommentti

120.4.2022 15:21

Näyttää tämä CVE-2022-29072 haavoittuvuus olevan kyseenalaistettu.


Kommentoi uutista

Mikäli sinulla ei ole vielä AfterDawn-käyttäjätunnusta, syötä allaolevaan kaavakkeeseen toivomasi käyttäjätunnus sekä sähköpostiosoitteesi. Lähetämme sinulle jälkikäteen aktivointilinkin antamaasi sähköpostiosoitteeseen.

Mikäli sinulla on jo ennestään AfterDawn-käyttäjätunnus, kirjaudu sisään seuraavan välilehden kautta.

Kirjaudu sisään käyttäen AfterDawn -käyttäjätunnustasi tai sähköpostiosoitettasi.




Uutisarkisto