7-Zip jest jednym z najlepszych programów do kompresji i dekompresji plików, jaki mogą pobrać użytkownicy komputerów z Windowsem. Okazuje się jednak, że jest to również jeden z mniej bezpiecznych programów tego typu. Wszystko z powodu luki, którą odkrył badacz bezpieczeństwa Kağan Çapar. Problem w tym, że zwykle w takich sytuacjach problem jest już dawno naprawiony w momencie publicznego ogłoszenia problemu. Tak jednak nie jest w tym wypadku.
7-Zip z groźną luką
Dobrymi informacjami dla wszystkich tych, którzy ignorują aktualizację programów na PC, jest to, że luka ta znajduje się w wersji 21.07 programu. W powyższym filmie natomiast możecie zobaczyć, w jaki sposób dokładnie można wykonać atak. Nim jednak ktoś uzna, że lepiej trzymać się WinRAR-a, to warto tu dodać, że wedle badacza bezpieczeństwa podobna luka występuje także w przypadku tego programu do archiwizacji plików. Częściowo wynika to z faktu, że plik pomocniczy HTML systemu Windows, ponieważ inne programy mogą pozwolić na wykonanie poleceń za jego pośrednictwem.
Zobacz też: Kompresowanie plików to bajka – najlepsze alternatywy dla WinZipa
Czy jest się czego obawiać? I tak i nie. Otóż sam atak wymaga fizycznego dostępu do komputera ofiary, lub przez zdalny pulpit. Tym samym warto jest zabezpieczyć swój komputer, przed fizycznym dostępem osób trzecich i zatroszczyć się nie tylko o silne hasło dla Windowsa, ale przede wszystkim zaszyfrowanie samego dysku, a także o odpowiednio mocne hasło. Mowa tu więc o profilaktyce typowej dla każdej osoby, której komputer jest narażony na potencjalny kontakt osób z zewnątrz, a nie tylko użytkowników programu 7-Zip. Tym bardziej że przy fizycznym dostępie przestępca może zainstalować o wiele groźniejszy pakiet oprogramowania, niż niewinny program do kompresji i dekompresji plików obarczony pewnym błędem.
Zobacz też: WinRAR z groźną luką – natychmiast go zaktualizuj!
Tym, co naprawdę budzi niepokój w tym wszystkim, jest fakt, że luka ta nie została jeszcze załatana. Warto tu bowiem dodać, że w dobrej praktyce badaczy bezpieczeństwa jest zgłoszenie zagrożenia twórcom oprogramowania, którego ono dotyczy. Ci wtedy zwykle wypłacają takiemu komuś nagrodę pieniężną, a następnie łatają lukę i dopiero wtedy badacz ogłasza ją światu. Tutaj natomiast zabrakło tego kluczowego elementu. Możliwe więc, że firma stojąca za 7-Zip najzwyczajniej w świecie zignorowała ten problem, co też się niestety zdarza. Wtedy zwykle dochodzi do sytuacji, w której firmy reagują na zgłoszenie, dopiero kiedy już cały świat, w tym cyberprzestępcy, wie, jak wykorzystać dane zagrożenie.
Źródło: TechSpot