Trình nén dữ liệu miễn phí 7-Zip dính lỗi bảo mật nghiêm trọng, anh em cẩn thận

Tin vui là cách khắc phục lỗi này của 7-Zip cũng khá là dễ dàng.

7-zip là một trong những công cụ nén dữ liệu miễn phí khá là phổ biến. Cách đây ít lâu, nó bị phát hiện dính lỗi “zero-day”, cho phép kẻ gian chiếm quyền cao hơn (privilege escalation), chẳng hạn như là quyền quản trị viên, để chạy các câu lệnh hoặc mở ứng dụng độc hại. Thành viên Kagancapar trên GitHub có vẻ như là người đã tìm ra lỗi 7-zip này trên Windows, và nó được gán mã hiệu là CVE-2022-29072.

Cụ thể thì lỗ hổng này xuất hiện trên Windows, do nó phụ thuộc vào việc 7-zip tương tác với ứng dụng Windows Help là hh.exe. Chẳng hạn như trong clip trên, khi kéo thả một tập tin đặc biệt với đuôi .7z vào khu vực cửa sổ Help > Contents thì lỗ hổng này sẽ xuất hiện.

Sau khi lỗi này bị phát hiện, đã có nhiều bên thứ 3 phản ánh rằng chuyện kẻ gian chiếm quyền cao hơn là không thể xảy ra. Tavis Ormandy – nhà nghiên cứu lỗ hổng Google Project Zero – cho biết lỗi này chỉ có thể xảy ra bằng cách điều chỉnh phần registry hoặc một số cách khác mà thôi. Tại thời điểm bài viết, vẫn chưa rõ là liệu những bên thứ 3 này có nói đúng hay không.

Kagancapar cho biết thêm rằng 7-zip không hẳn thừa nhận lỗi này thuộc về họ, do lổ hổng này có vẻ như phụ thuộc vào hệ thống Microsoft Help. Tuy nhiên, bản thân lỗi này cũng gây ra hiện tượng “overflow” trong 7zFM.exe, cho nên lẽ ra phía 7-zip cũng phải chịu 1 phần trách nhiệm trong này.

Phiên bản 7-zip mới nhất tại thời điểm bài viết là version 21.07, và nó vẫn chưa được vá lỗi. Nếu bạn lo ngại về vấn đề này thì có thể khắc phục theo 2 cách đơn giản sau:

• Nếu 7-zip không cập nhật thì hãy xóa tập tin 7-zip.chm
• Phần mềm 7-zip chỉ nên có quyền đọc và chạy

Tóm tắt ý chính:

• 7-Zip bị phát hiện dính lỗi cho phép kẻ gian chiếm quyền cao hơn để chạy các câu lệnh độc hại
• Lỗ hổng này xuất hiện trên Windows, do nó phụ thuộc vào việc 7-zip tương tác với Windows Help
• Tuy nhiên, nhiều bên thứ 3 đã phản ánh rằng chuyện kẻ gian chiếm quyền cao hơn là không thể xảy ra
• Vẫn chưa rõ là liệu những bên thứ 3 này có nói đúng hay không

Mời các bạn tham khảo thêm một số thông tin liên quan tại GVN 360 như:

• Tìm hiểu về file nén và những lợi ích mà nó mang lại
• Cùng thời gian ra mắt, tỉ lệ người dùng Steam chịu nâng cấp lên Windows 11 chỉ bằng nửa Windows 10

Nguồn: tom’s HARDWARE

---

Mời các bạn theo dõi fanpage của chúng mình theo đường link dưới đây để cập nhật những tin tức về game, công nghệ và nhiều thông tin thú vị khác nữa nhé!

GVN 360