Mercado fechado
  • BOVESPA

    108.232,74
    +1.308,56 (+1,22%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.563,98
    +984,08 (+1,98%)
     
  • PETROLEO CRU

    114,31
    +0,11 (+0,10%)
     
  • OURO

    1.826,00
    +12,00 (+0,66%)
     
  • BTC-USD

    29.970,71
    -709,39 (-2,31%)
     
  • CMC Crypto 200

    671,73
    +429,05 (+176,80%)
     
  • S&P500

    4.008,01
    -15,88 (-0,39%)
     
  • DOW JONES

    32.223,42
    +26,76 (+0,08%)
     
  • FTSE

    7.464,80
    +46,65 (+0,63%)
     
  • HANG SENG

    20.310,97
    +360,76 (+1,81%)
     
  • NIKKEI

    26.671,44
    +124,39 (+0,47%)
     
  • NASDAQ

    12.329,75
    +85,00 (+0,69%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,2671
    -0,0134 (-0,25%)
     

Falha no popular compactador 7-Zip abre brecha para invasões no Windows

  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
·2 min de leitura
Neste artigo:
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.

O 7-Zip, popular programa gratuito de compactação de arquivos, teve uma vulnerabilidade de dia zero descoberta por um usuário do GitHub. A falha, quando executada, permite que invasores possam escalonar os privilégios de acesso do Windows, podendo assim executar comandos ou mesmo assumir o controle completo da máquina.

A falha descoberta pelo usuário Kagancapar do GitHub foi registrada com o código CVE-2022-29072. Ela pode ser executada a partir da movimentação de arquivos com a extensão proprietária do 7-Zip, .7z, sendo arrastados para a janela de ajuda da aplicação, o que faz com que o Prompt de comando do Windows possa ser executado com privilégios de Administrador, conforme demonstrado no clipe abaixo:

Segundo o usuário do GitHub, a vulnerabilidade ocorre por um overflow de memória quando arquivos .7z são jogados na sessão de ajuda do programa - algo provavelmente causado pela forma que o 7-Zip foi codificado.

Por outro lado, mesmo com a análise técnica do usuário do GitHub, os desenvolvedores da aplicação, oficialmente, afirmam que a falha tem mais a ver com o sistema Microsoft Help presente no Windows do que com o programa - e essa discussão pode permanecer ativa até que um relatório completo e detalhado sobre a falha seja divulgado.

Falha do 7-Zip pode ser corrigida antes de atualização oficial

Considerando a relativa facilidade em abusar da falha do 7-Zip, ela pode ser um verdadeiro problema de privacidade e segurança para os usuários do Windows, já que eles podem ter o controle da máquina sequestrado por criminosos que a explorarem.

Até o fechamento dessa matéria, a última versão do 7-Zip para o Windows, a v21.07, é compatível com a falha. Porém, mesmo nesse lançamento do programa e em versões anteriores, existem formas fáceis de mitigar o problema.

A primeira é só deletar o arquivo 7-zip.chm que fica na pasta de instalação do programa para bloquear a falha. Se preferir não mexer nesses documentos, executar a aplicação somente com permissões de leitura e gravação também impedem seu abuso.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos