Un chercheur du nom de Kağan Çapar a annoncé il y a quelques jours avoir trouvé une faille zero-day dans 7-Zip. Une affirmation qui est désormais contestée.
Plusieurs chercheurs ont indiqué depuis n'avoir trouvé aucune preuve concrète de l'existence de la vulnérabilité, enregistrée comme étant la CVE-2022-29072, et qui est depuis passée en « disputed ».
Une façon de procéder mystérieuse
Le 15 avril, le chercheur Kağan Çapar a annoncé avoir trouvé une vulnérabilité dans le logiciel de compression de données 7-Zip. Dans une vidéo postée sur sa chaîne YouTube, il démontre la vulnérabilité. Pour cela, il se rend dans le menu Aide > Contenu de 7-Zip et glisse un fichier avec une extension .7z dans la fenêtre d’aide ouverte. Il montre alors que de cette manière, il a réussi à obtenir une élévation locale de privilèges. Selon lui, le problème vient du logiciel, à cause d’une mauvaise configuration de 7z.dll et d'un dépassement de tas (heap overflow).
Depuis la publication de la vidéo et de l’explication associée, plusieurs personnes soulèvent des incohérences dans les explications du chercheur. Le bug ne semble pas avoir été reproduit depuis, et le chercheur refuse de partager ses fichiers publiquement, car la faille n'a pas été corrigée, et de répondre à la majorité des questions. Il est donc compliqué de comprendre exactement sa façon de procéder. Tavis Ormandy, chercheur chez Google, a indiqué sur Twitter et sur Hacker News avoir reçu un fichier de la part de Kağan Çapar, mais n’avoir trouvé aucune preuve pour corroborer les affirmations du chercheur.
Will Dormann, chercheur au CERT/CC, a décidé de son côté d’utiliser l’humour pour démontrer qu’une vidéo YouTube était loin d’être une preuve suffisante de l’existence d’une vulnérabilité.
Une panique injustifiée ?
À l’heure où sont écrites ces lignes, la CVE-2022-29072 est désormais désignée comme « DISPUTED » sur Mitre. Est-il donc nécessaire de s’inquiéter et de désinstaller 7-Zip ? Pour le moment, tout semble indiquer que non, même si la prudence reste de mise. Outre le fait que l’existence même de la vulnérabilité est en cause, ce genre de failles est rarement utilisé contre des particuliers.
Plusieurs sites proposent de supprimer le fichier 7-zip.chm pour corriger le problème. Néanmoins, vu que la possible vulnérabilité requiert d’avoir auparavant un accès quelconque à l’ordinateur de la victime, le mal sera déjà fait. En attendant d’avoir plus d’informations, wait and see, comme on dit.
- Open source et libre.
- Le format 7z offre de bonnes performances en compression.
Sources : Kağan Çapar, Hacker News, Tom's Hardware