Les amateurs de compression de fichiers vont devoir retirer la mise à jour et fissa car une vulnérabilité plutôt inquiétante vient d’être découverte chez nos fidèles 7 fermetures éclairqui nous suit depuis des années pour compresser et décompresser nos fichiers.
Cette faille critique, appelée CVE-2024-11477a reçu un score CVSS élevé de 7,8, reflétant son sérieux. Il permet aux attaquants d’exécuter du code malveillant sur votre système lorsque vous ouvrez certaines archives spécialement préparées.
Plus précisément, le problème réside dans le traitement des fichiers compressés avec Zstandardun algorithme de compression particulièrement utilisé dans l’écosystème Linux, notamment pour les systèmes de fichiers Btrfs, SquashFS et OpenZFS. Fondamentalement, lorsque 7-Zip tente de décompresser ce type d’archive, il ne vérifie pas correctement les données fournies par l’utilisateur. Cette négligence peut ainsi provoquer ce qu’on appelle un « débordement entier » – une sorte de débordement arithmétique qui permet d’écrire n’importe quoi dans la mémoire de votre ordinateur.
Pour les plus techniques d’entre vous, cela signifie qu’un attaquant peut exploiter cette vulnérabilité pour exécuter ses propres instructions avec les mêmes privilèges que l’utilisateur lançant 7-Zip. Donc, si vous êtes connecté en tant qu’administrateur… tu vois la photo. La menace est d’autant plus sérieuse que cette faille nécessite peu de connaissances techniques pour être exploitée, même si aucun malware ne la cible pour l’instant. Ouf !
Mais pas de panique ! Comme c’est souvent le cas en sécurité informatique, il existe une solution simple : mettre à jour !!!
Les développeurs de 7-Zip ont réagi rapidement et ont corrigé cette faille dans la version 24.07. Le problème est que contrairement à de nombreux logiciels modernes, 7-Zip ne dispose pas de système de mise à jour automatique. Vous devrez donc retrousser vos manches et mettre à jour manuellement.
Pour vérifier votre version actuelle de 7-Zip, ouvrez 7-Zip File Manager, cliquez sur « Aide » puis « À propos de 7-Zip » et regardez le numéro de version affiché.
Si vous voyez un nombre inférieur à 24.07, rendez-vous sur le site officiel de 7-Zip pour télécharger la dernière version !
Bref comme d’habitude :
- Méfiez-vous des archives de sources inconnues : comme pour les pièces jointes aux emails, la prudence est de mise
- Scanner les archives suspectes avec votre antivirus avant de les ouvrir
- Évitez d’ouvrir les archives en tant qu’administrateur sauf si c’est vraiment nécessaire
- Conservez une sauvegarde de vos données importantes au cas où
Pour les administrateurs système et les développeurs qui utilisent 7-Zip dans leurs applications, il est doublement important d’effectuer cette mise à jour. Non seulement pour protéger leurs propres systèmes, mais aussi pour éviter de diffuser des versions vulnérables à travers leurs produits.
Cette vulnérabilité, initialement signalée en juin 2024, vient d’être divulguée publiquement le 20 novembre 2024 et si vous souhaitez plus de détails, elle figure dans l’avis de sécurité officiel du CERT-EU.
Source
Related News :