Depolama alanından tasarruf etmemiz için dosyaları sıkıştırmamıza ve gerektiğinde onları çıkarmamıza olanak sağlayan WinZip ve WinRAR gibi dosya arşivleme araçları onlarca yıldır kullanılmakta. Bu araçlardan en yaygın kullanılanlarından birisi ise, çeşitli zip formatlarını desteklemesi sebebiyle piyasaya sürülmesinden sonra kısa süre içerisinde popülerleşen 7-Zip olarak öne çıkıyor.
Şimdiyse kagancapar isimli bir Türk Github kullanıcısının, 7-Zip’in Windows versiyonunda bir güvenlik açığı tespit ettiği bildiriliyor. Yetkisiz ayrıcalık yükseltme ve komut yürütmeye olanak tanıyan bu açığın, bilgisayarınıza sınırlı erişimi olan birinin yönetici erişimi kazanabilmesini ve çeşitli komutlar ve uygulamalar çalıştırabilmesini kapsadığı belirtiliyor.
7-Zip’teki güvenlik açığı bir Türk Github kullanıcısı tarafından keşfedildi
Kötü niyetli kişilerin, 7-Zip (.7z) uzantılı gizlenmiş bir dosyayı 7-Zip kullanıcı ara yüzünün ‘Yardım’ bölümünde yer alan ‘İçindekiler’ kısmına ekleyerek bu güvenlik açığından faydalanabileceği ifade ediliyor. Buna ek olarak söz konusu güvenlik açığının, dosya arşivleme aracında bulunan yardım dosyasından yararlandığı kaydediliyor.
Neyse ki bu, saldırganın bir ağ üzerinden saldırıyı etkinleştirmek yerine bilgisayarınıza yerel erişime sahip olmasını gerektiriyor gibi görünüyor. Yine de bu, bahsi geçen güvenlik açığının, çok popüler bir bilgisayar uygulamasında dikkate değer bir kusur olduğu gerçeğini değiştirmiyor.
Öte yandan açığı keşfeden Github kullanıcısı, bu güvenlik açığını gidermek için iki çözüm öneriyor. İlk yöntem 7-zip.chm dosyasını silmek olarak öne çıkarken, ikinci yolun ise 7-Zip’in bilgisayarın tüm kullanıcıları için yalnızca okuma ve çalıştırma izinlerine sahip olmasını sağlamak olduğu belirtiliyor.