TISI
Une faille de sécurité dans le logiciel 7-Zip - Version imprimable

+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7)
+--- Sujet : Une faille de sécurité dans le logiciel 7-Zip (/showthread.php?tid=4752)

Une faille de sécurité dans le logiciel 7-Zip - Marco - 04-12-2024

[Image: images?q=tbn:ANd9GcREpTQVN0tqVJkZ5PEdjCy...0tS7Rhjg&s]

Le logiciel d'archivage 7-Zip est touché par une faille de sécurité critique étiquetée CVE-2024-11477 et notée 7,8/10 en gravité, qui permet à des hackers de prendre le contrôle d'un ordinateur via une archive malveillante. Ce problème provient de l'algorithme de décompression du logiciel, qui ne vérifie pas correctement les données, permettant ainsi à l’hacker d’obtenir les mêmes privilèges que l’utilisateur qui exécute 7Zip.

Bien qu'aucun cas d'exploitation réelle n'ait été détecté, il est fortement conseillé de mettre à jour 7-Zip vers la version 24.07 ou plus récente, disponible depuis le 20 novembre 2024. La mise à jour n'étant pas automatique, il faut la télécharger manuellement depuis le site officiel de 7-Zip.

Cette faille de sécurité rappelle l'importance de maintenir ses logiciels à jour pour éviter de compromettre son ordinateur et les données qu’il contient.

Sources:
 https://www.phonandroid.com/7-zip-une-terrible-faille-de-securite-menace-votre-pc-on-vous-explique-comment-le-proteger.html
https://www.frandroid.com/os/2423554_le-celebre-logiciel-darchivage-7-zip-victime-dune-grave-faille-de-securite

RE: Une faille de sécurité dans le logiciel 7-Zip - EnZ0 - 09-12-2024

Pas mal d'enseignements à tirer ici. La faille CVE-2024-11477 sur 7-Zip, notée 7,8 en gravité comme tu le précises, montre encore une fois à quel point des outils simples qu’on utilise tous les jours peuvent devenir un point d’entrée critique. Ce qui est intéressant, c’est que l’exploitation repose sur les privilèges de l’utilisateur. Ça soulève une vraie question sur la gestion des comptes utilisateurs et la minimisation des droits.

D’ailleurs, le fait que 7-Zip ne propose pas de mise à jour automatique me paraît un peu archaïque, dangereux, voire matière à le blacklister. Dans un environnement pro, ça pourrait être un réel casse-tête pour le déploiement. Vous en pensez quoi, ça vaudrait pas le coup de passer à des outils avec un système de patching plus robuste ?

Conclusion simple : mettez à jour ! A quoi ça sert les mises à jour déjà, hein ? Big Grin