Faille zero-day dans 7-Zip : faut-il s'inquiéter de cette vulnérabilité ?

20 avril 2022 à 10h50
0
cybersécurité faille vulnérabilité © madartzgraphics / Pixabay
© madartzgraphics / Pixabay

Un chercheur du nom de Kağan Çapar a annoncé il y a quelques jours avoir trouvé une faille zero-day dans 7-Zip. Une affirmation qui est désormais contestée.

Plusieurs chercheurs ont indiqué depuis n'avoir trouvé aucune preuve concrète de l'existence de la vulnérabilité, enregistrée comme étant la CVE-2022-29072, et qui est depuis passée en « disputed ».

Une façon de procéder mystérieuse

Le 15 avril, le chercheur Kağan Çapar a annoncé avoir trouvé une vulnérabilité dans le logiciel de compression de données 7-Zip. Dans une vidéo postée sur sa chaîne YouTube, il démontre la vulnérabilité. Pour cela, il se rend dans le menu Aide > Contenu de 7-Zip et glisse un fichier avec une extension .7z dans la fenêtre d’aide ouverte. Il montre alors que de cette manière, il a réussi à obtenir une élévation locale de privilèges. Selon lui, le problème vient du logiciel, à cause d’une mauvaise configuration de 7z.dll et d'un dépassement de tas (heap overflow).

Depuis la publication de la vidéo et de l’explication associée, plusieurs personnes soulèvent des incohérences dans les explications du chercheur. Le bug ne semble pas avoir été reproduit depuis, et le chercheur refuse de partager ses fichiers publiquement, car la faille n'a pas été corrigée, et de répondre à la majorité des questions. Il est donc compliqué de comprendre exactement sa façon de procéder. Tavis Ormandy, chercheur chez Google, a indiqué sur Twitter et sur Hacker News avoir reçu un fichier de la part de Kağan Çapar, mais n’avoir trouvé aucune preuve pour corroborer les affirmations du chercheur.

Will Dormann, chercheur au CERT/CC, a décidé de son côté d’utiliser l’humour pour démontrer qu’une vidéo YouTube était loin d’être une preuve suffisante de l’existence d’une vulnérabilité.

Une panique injustifiée ?

À l’heure où sont écrites ces lignes, la CVE-2022-29072 est désormais désignée comme « DISPUTED » sur Mitre. Est-il donc nécessaire de s’inquiéter et de désinstaller 7-Zip ? Pour le moment, tout semble indiquer que non, même si la prudence reste de mise. Outre le fait que l’existence même de la vulnérabilité est en cause, ce genre de failles est rarement utilisé contre des particuliers.

Plusieurs sites proposent de supprimer le fichier 7-zip.chm pour corriger le problème. Néanmoins, vu que la possible vulnérabilité requiert d’avoir auparavant un accès quelconque à l’ordinateur de la victime, le mal sera déjà fait. En attendant d’avoir plus d’informations, wait and see, comme on dit.

7-Zip
  • Open-source et libre
  • Le format 7z offrant de bonnes performances en compression

L'interface est un peu austère mais dans une utilisation courante, on se limitera généralement à son intégration dans l'explorateur Windows (un clic droit sur une archive pour la décompresser, un clic droit sur un fichier ou un répertoire pour le compresser). Un logiciel à découvrir sans hésitation !

L'interface est un peu austère mais dans une utilisation courante, on se limitera généralement à son intégration dans l'explorateur Windows (un clic droit sur une archive pour la décompresser, un clic droit sur un fichier ou un répertoire pour le compresser). Un logiciel à découvrir sans hésitation !

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Lectures liées

Le spyware Predator a infecté des smartphones Android en exploitant une faille 0-day
3 bons plans VPN pour assurer votre sécurité en ligne
Ces deux failles critiques ont été exploitées par des hackers d'État
Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois
Google dépose le bilan en Russie
Ce nouveau hack permet de récupérer vos informations bancaires
Surfshark VPN s'offre enfin une interface sous Linux
Ces 200 applications Android vous espionnent et volent vos données, supprimez-les d'urgence !
Une nouvelle arnaque bancaire par téléphone signalée par la DGCCRF
Ransomware : ce groupe de hackers russes est considéré comme le plus dangereux
Haut de page