Popüler açık kaynaklı sıkıştırma programı 7-Zip’in mevcut sürümü ve bazı eski sürümleri, saldırganların ayrıcalıkları yükseltmesine olanak tanıyan CVE-2022-29072 numaralı güvenlik açığı tespit edildi. Şu anda 7-Zip, bu güvenlik açığını gidermek için bir güvenlik güncellemesi henüz yayınlamadı. Bu güvenlik açığını gidermek için kullanıcıların yalnızca 7-Zip kurulum dizinindeki 7-zip.chm dosyasını silmeleri gerekiyor. Silme işleminden sonra bilgisayar korsanları artık ayrıcalıkları yükseltmek için CVE-2022-29072 güvenlik açığından yararlanamıyor.
7-Zip’in etkilenen sürümü Windows versiyonu. Güvenlik açığı, 7z.dll dosyasının yanlış yapılandırılmasından ve yığın taşmasından kaynaklanıyor. Yardımın içerik alanı, Windows HTML Yardımcısı üzerinden çalışıyor. Komut enjeksiyonu yapılırsa 7zFM.exe altında bir alt süreç görünüyor ve 7z.dll dosyasındaki bellek etkileşimi nedeniyle yönetici modu veriyor.
Yeni sürümün ne zaman yayınlanacağı belli olmayan uygulama için şu an için yapılacak 7-Zip kurulum dizinindeki 7-zip.chm dosyasını silmek veya tamamen uygulamayı kaldırmak olacaktır.
Kaynak: securityonline.info