7-Zip è una delle utilità per la creazione e la gestione degli archivi compressi più conosciute e installate a livello mondiale.
In questi giorni un ricercatore autonomo ha scoperto due pericolose vulnerabilità all’interno di 7-Zip che permettono a un aggressore di leggere e modificare il contenuto della memoria del sistema dell’utente durante la fase di decompressione di un file.
Semplicemente provando ad estrarre il contenuto di un archivio con 7-Zip, un malintenzionato può disporre l’esecuzione di codice nocivo sulla macchina dell’utente.
Il problema è particolarmente grave perché, in primis, gli archivi compressi vengono generalmente considerati sicuri fintanto che, per esempio, non si avviasse un eseguibile in essi contenuto. Per secondo, la versione di 7-Zip sinora distribuita era erroneamente compilata in maniera tale da non usare ASLR ovvero la misura di protezione di Windows contro buffer overrun ed exploit che consiste nel rendere casuale l’indirizzo delle funzioni di libreria e delle più importanti aree di memoria.
Inoltre DEP, altra funzionalità di protezione di Windows che permette di marcare il codice salvato in certe aree della memoria come “non eseguibile”, viene usata nel caso di 7-Zip solo sui sistemi Windows a 64 bit e in tutte le versioni di Windows 10 (comprese quelle a 32 bit).
Lo sviluppatore di 7-Zip, Igor Pavlov, si è affrettato a rilasciare una versione aggiornata della sua utilità, scaricabile da questa pagina.
Chiunque utilizzi una versione di 7-Zip antecedente alla 18.01 è quindi fondamentale che scarichi e installi la release appena pubblicata.
Per aggiornare 7-Zip basterà cliccare due volte sul file d’installazione aggiornato e, nel caso in cui comparisse la schermata PC protetto da Windows, scegliere Ulteriori informazioni quindi Esegui comunque.
Confermando la stessa cartella dove 7-Zip risulta installato e cliccando su Install, si aggiornerà la versione del programma presente sul sistema.