2 failles critiques pour la star des outils de compression 7-Zip

Talos (Cisco) vient de trouver deux failles d’importance dans 7-Zip, une application très populaire dans le secteur de la compression de fichiers.

7-Zip est un des plus célèbres outils de compression du marché. Et pour cause : le format de compression LZMA promu par cette solution est parmi les plus efficaces du secteur ; 7-Zip est compatible avec un large ensemble de formats d’archives ; cette offre est gratuite et accessible sous licence Open Source.

Bref, tout pour plaire ? Pas vraiment explique Talos (émanation de Cisco), qui vient de mettre en lumière quelques failles importantes dans cet outil. Lors de l’accès à des images disque au format UDF (successeur de l’ISO-9660) ou HFS+ (images disque Apple), des dépassements de tampon peuvent survenir, avec la possibilité pour un pirate d’exécuter du code avec le même niveau de privilèges que 7-Zip… voire de l’application l’utilisant, 7-Zip étant employé par divers outils pour accéder à des archives, dont certains antivirus.

Solution : passer à la version 16.00

Toutes les versions de cet outil allant de la 9.20 à la 15.14 (ainsi que probablement d’autres, plus anciennes) sont touchées par ces failles. Alerté par Talos, l’auteur de cette solution, Igor Pavlov, vient de proposer une nouvelle version de 7-Zip, qui corrige – entre autres – ces deux vulnérabilités. 7-Zip 16.00 est accessible pour les versions 32 bits et 64 bits de Windows. Le LZMA SDK, utilisé pour implémenter le support du LZMA au sein d’applicatifs tiers, a également été mis à jour.