Pour gérer vos consentements :

2 failles de sécurité critiques pour l’outil de compression 7-Zip

7-Zip est un des plus célèbres outils de compression du marché. Et pour cause : le format de compression LZMA promu par cette solution est parmi les plus efficaces du secteur ; 7-Zip est compatible avec un large ensemble de formats d’archives ; cette offre est gratuite et accessible sous licence Open Source.

Bref, tout pour plaire ? Pas vraiment explique Talos (émanation de Cisco), qui vient de mettre en lumière quelques failles importantes dans cet outil. Lors de l’accès à des images disque au format UDF (successeur de l’ISO-9660) ou HFS+ (images disque Apple), des dépassements de tampon peuvent survenir, avec la possibilité pour un pirate d’exécuter du code avec le même niveau de privilèges que 7-Zip… voire de l’application l’utilisant, 7-Zip étant employé par divers outils pour accéder à des archives, dont certains antivirus.

Solution : passer à la version 16.00

Toutes les versions de cet outil allant de la 9.20 à la 15.14 (ainsi que probablement d’autres, plus anciennes) sont touchées par ces failles. Alerté par Talos, l’auteur de cette solution, Igor Pavlov, vient de proposer une nouvelle version de 7-Zip, qui corrige – entre autres – ces deux vulnérabilités. 7-Zip 16.00 est accessible pour les versions 32 bits et 64 bits de Windows. Le LZMA SDK, utilisé pour implémenter le support du LZMA au sein d’applicatifs tiers, a également été mis à jour.

À lire aussi :
Nouvelle faille critique pour Adobe Flash
Oracle corrige les failles de ses produits… et de Java
Lenovo corrige une faille critique dans son Solution Center

Crédit photo : © Lisa S. – Shutterstock

Recent Posts

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

1 heure ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

5 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

7 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

24 heures ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

1 jour ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago