[Sécurité] Exploit RCE CVE-2024-11477 découvert sur 7Zip

Le célèbre logiciel de décompression open source 7Zip à un exploit RCE critique sur sont système de décompression


Le célèbre logiciel de décompression open source 7Zip à un exploit RCE critique sur sont système de décompression, pour rappel,
7-Zip est un logiciel de compression de données et d’archivage de fichiers fonctionnant sous Windows développé par Igor Pavlov.
Il peut également être utilisé avec d’autres systèmes d’exploitation (GNU/Linux…) grâce, par exemple, au projet Wine ou au portage de sa version console sous GNU/Linux, nommé p7zip.
C’est un logiciel libre distribué sous licence LGPL, le code LZMA est dans le domaine public, le code AES est sous licence BSD et le code unRAR est sous licence mixte (LGPL + des restrictions unRAR).
Le logiciel est intégré à la liste des logiciels libres préconisés par l’État français dans le cadre de la modernisation globale de ses systèmes d’informations (SI).

La vulnérabilité a été trouvé par Nicholas Zubrisky, chercheur en sécurité informatique au sein de Trend Micro, elle exploite un bug dans décompression Zstandard ou Zstandard Decompression Handler, en raison d'une validation insuffisante des données fournies par l'utilisateur, un débordement d'entier peut se produire, permettant aux attaquants d'exécuter un code arbitraire dans le processus concerné, en somme, un exploit buffer overflow

Cette vulnérabilité a un score CVSS de 7,8, ce qui indique un risque important, surtout qu'elle peu être exécuté à distance, actuellement les détails technique et l'exploit elle même n'a pas encore été publié.

Si cela n'a pas été fait, nous vous recommandons vivement de mettre à jour 7Zip en version 24.07 ou plus qui corrige la faille*

Lien de téléchargement : 7Zip Latest
Lien du site : 7Zip.org


Veuillez vous connecter ou vous créer un compte pour commenter cet article !


Il n'y a aucun commentaire pour le moment.