Пользователи нашли уязвимость в одном из популярных приложений Windows

7-Zip позволяет работать с архивами, при этом не требует денег или длительной установки и настройки. В версиях утилиты 21 и новее была обнаружена уязвимость нулевого дня, которая получила номер CVE-2022-29072.

Она позволяет локальному пользователю с ограниченными правами получить полный доступ к компьютеру, то есть повысить свои права до максимальных. В результате получивший доступ пользователь может сделать с данными все, что захочет.

Чтобы провернуть такую схему, требуется с определенной последовательностью переместить специальный файл с расширением .7z внутрь утилиты. При этом процессе возникает ошибка библиотеки 7z.dll и буфер переполняется.

Разработчики архиватора пока не признали ошибку, они указывают, что проблема кроется не в продукте, а в самой Windows. По мнению создателей, переполнение буфера вызывает ошибка в работе hh.exe (Microsoft HTML Helper).