I tecnici del Talos, gruppo affiliato a Cisco, hanno scoperto alcune pericolose vulnerabilità nella libreria alla base del funzionamento del noto software di compressione dati 7-Zip. Software libero e opensource, 7-Zip viene utilizzato anche in molti software di terze parti, spesso per gestire la procedura di decompressione dei file.
Gli esperti del Talos hanno scoperto che utenti malintenzionati possono fare leva sulle vulnerabilità appena venute a galla per eseguire operazioni sul sistema con gli stessi diritti del processo che sovrintende la decompressione dei dati.
Il problema è importante perché, ad esempio, lo stesso Malwarebytes utilizza le librerie di 7-Zip così come molti altri programmi di terze parti.
Sul sito ufficiale di 7-Zip è stata da poco pubblicata la release 16, esente da qualunque problema di sicurezza ad oggi conosciuto (vedere questa scheda per il download) ma è importante che sviluppatori e software house adeguino prima possibile le loro applicazioni.
A provvedere a tempo di record è stato il progetto italiano PeaZip: l’autore ha infatti immediatamente aggiornato il suo software di compressione dati.