April 18, 2022

Несколько телеграм-каналов сейчас начали поднимать шум про уязвимость в архивах 7-zip, но не надо поддаваться панике. На самом деле в windows-версии архиватора 7-zip есть ошибка, с помощью хитро сформированного архива можно выполнить произвольные команды от имени пользователя. Но чтобы это произошло, пользователь сам должен зачем-то кинуть файл 7-zip на окно хелпа программы 7-zip. Такая вот албанская уязвимость получается.

github.com/kagancapar/CVE-2022-29072

GitHub - kagancapar/CVE-2022-29072: 7-Zip through 21.07 on Windows allows privilege escalation and command execution when a file with the .7z extension is dragged to the Help>Contents area.

7-Zip through 21.07 on Windows allows privilege escalation and command execution when a file with the .7z extension is dragged to the Help>Contents area. - GitHub - kagancapar/CVE-2022-29072...