7-Zip är ett populärt program för att komprimera och packa upp filer på Windows och Linux. Säkerhetsforskaren Nicholas Zubrisky på Trend Micro Security Research har upptäckt en bugg i programmet som gör det möjligt att köra godtycklig kod inbakad i en särskilt formaterad komprimerad fil.

Upptäckten gjordes i juni och gäller version 24.06 av programmet. Detaljer om buggen offentliggjordes 20 november sedan 7-Zip 24.07 släpptes med en fix för buggen.

Buggen ligger i dekomprimeringsrutinen Zstandard. Indata valideras inte korrekt, vilket kan leda till ett heltalsunderflöde som i likhet med överflöden skriver över minne felaktigt. Det kan en hackare utnyttja för att köra skadlig kod direkt eller som en inkörsport för annan skadlig kod, och allt offret behöver göra är att packa upp en vanlig .7z-fil.

Sårbarheten har fått beteckningen CVE-2024-11477 och är klassad som 7,8 på allvarlighets­skalan CVSS. Den rättades som sagt till i version 24.07, men kort därefter släpptes även 24.08 som i skrivande stund är den senaste, med en fix för ytterligare en bugg. Den senare är dock inte lika allvarlig då den bara får programmet att hänga sig.