Recenze  |  Aktuality  |  Články
Doporučení  |  Diskuze
Grafické karty
Chlazení a skříně
Ostatní
Periférie
Procesory
Storage a RAM
Základní desky
O nás  |  Napište nám
Facebook  |  Twitter
Digimanie  |  TV Freak
Svět mobilně  |  Svět audia

Chyba v 7-zip pod Windows dává nepovolaným k dispozici administrátorská práva

, , aktualita
Chyba v 7-zip pod Windows dává nepovolaným k dispozici administrátorská práva
Aplikace 7-zip používána pro kompresi dat obsahuje nově objevenou chybu, která může být zneužita pro získání administrátorských práv, a tedy i ovládnutí počítače. Co nám hrozí a jak na tento problém reagovat?
Chyba v 7-zip pod Windows dává nepovolaným k dispozici administrátorská práva
Jde tu tak o aplikaci 7-zip do verze 21.07 pro Windows od Igora Pavlova, jíž se týká chyba CVE-2022-29072. Ta umožní, abychom na počítači získali administrátorská práva, přičemž tu ovšem nejde o vzdálený přístup, čili kdo ví, že k jeho PC se stejně fyzicky nedostane nikdo, kdo by chtěl dělat takovou neplechu, může být v klidu. Jde tak spíše o sdílené počítače, kde je třeba běžné uživatele krotit pomocí omezených práv. 
 
 
Tato chyba se přitom přímo týká systému Windows, neboť tu jde o interaktivitu s jejich procesem hh.exe (HTML Help). Eskalace privilegií nastává v případě, kdy prostě pomocí myši přesuneme soubor s koncovkou .7z do okna, které se objeví po stisknutí klávesy F1 (cesta Help>Contents). Jak ukazuje následující video, uživatel ihned poté získá administrátorská práva. 
 
 
Autor 7-zip přitom poukazuje na to, že tento problém nepadá jen na jeho hlavu a i když jde o jistou chybu v knihovně 7z.dll a výsledné přetečení na haldě v rámci procesu 7zFM.exe, jde i o problém Microsoftu a jeho hh.exe. To nám ale může být vcelku jedno. 
 
Důležité je, že stále ještě není k dispozici nová verze aplikace 7-zip, která by danou chybu neobsahovala, neboť v době psaní těchto řádků byla k dispozici jako nejnovější stále ještě verze 21.07 z konce předchozího roku. 
 
Pokud tak někdo chce dále využívat 7-zip a zajistit, aby si nikdo nepovolaný nemohl tímto způsobem zajistit práva admina, může buď z instalačních dat smazat soubor 7-zip.chm a jako druhou metodu lze použít omezení práv samotné aplikace, aby mohla jen číst a spouštět (pro všechny uživatele). 


reklama