Solución alternativa para el problema de seguridad en 7-Zip - CVE-2022-29072

AS-039-2022

Fecha: 19/Abr/2022

Resumen:

El  código abierto 7-Zip tienen una vulnerabilidad que aún no se ha corregido. La explotación exitosa de la vulnerabilidad permite la escalada de privilegios y la ejecución de comandos;  el problema parece que sólo puede ser explotado localmente.

La vulnerabilidad es reconocida como CVE-2022-29072, que utiliza el archivo de Ayuda incluido en  7-zip.chm, para el exploit.

Los detalles de la vulnerabilidad se han publicado en GitHub. La página proporciona información técnica y un breve video de demostración del exploit.

Los usuarios de la aplicación pueden usar la siguiente solución para mitigar la vulnerabilidad en sus dispositivos. Dado que está utilizando el archivo de Ayuda, una forma de tratar el problema es eliminando dicho archivo.

• Abra el directorio o carpeta de instalación de 7-Zip en el sistema. En Windows, estos suelen estar en C:\Archivos de programa\7-Zip o C:\Archivos de programa (x86)\7-Zip, dependiendo de si se ha instalado la versión de 64 bits o la versión de 32 bits de la aplicación.
• Localice el archivo 7-Zip.chm; este es el archivo de ayuda. Puede abrirlo directamente para mostrar su contenido.
• Presione el botón eliminar en el teclado o haga clic derecho en el archivo y seleccione la opción Eliminar menú contextual, para eliminarlo del sistema.

Es posible que reciba un mensaje: “Acceso a archivos denegado”. Si ese es el caso, seleccione Continuar.

El archivo se mueve a la papelera de reciclaje del sistema operativo de forma predeterminada. La funcionalidad 7-Zip no se reduce al eliminar el archivo de ayuda.

Recomendación.

Favor eliminar el archivo de ayuda “7-Zip.chm” para reducir la probabilidad de explotar la vulnerabilidad. El CSIRT comprueba que el borrado del archivo no disminuye la capacidad de comprimir y descomprimir archivos.

Referencia:

https://www.ghacks.net/2022/04/18/workaround-for-security-issue-in-7-zip-until-it-is-fixed/