Les amateurs de compression de fichiers vont devoir dégainer la mise à jour et fissa car une vulnérabilité assez préoccupante vient d’être découverte dans notre fidèle 7-Zip, qui nous suit depuis des années pour compresser et décompresser nos fichiers.

Cette faille critique, baptisée CVE-2024-11477, a reçu un score CVSS élevé de 7.8, témoignant de sa gravité. Elle permet à des attaquants d’exécuter du code malveillant sur votre système quand vous ouvrez certaines archives spécialement préparées pour.

Plus précisément, le problème se situe au niveau du traitement des fichiers compressés avec Zstandard, un algorithme de compression particulièrement utilisé dans l’écosystème Linux, notamment pour les systèmes de fichiers Btrfs, SquashFS et OpenZFS. En gros, quand 7-Zip essaie de décompresser ce type d’archives, il ne vérifie pas correctement les données fournies par l’utilisateur. Cette négligence peut ainsi provoquer ce qu’on appelle un « integer underflow » - une sorte de débordement arithmétique qui permet d’écrire n’importe quoi dans la mémoire de votre ordinateur.

Pour les plus techniques d’entre vous, cela signifie qu’un attaquant peut exploiter cette vulnérabilité pour exécuter ses propres instructions avec les mêmes privilèges que l’utilisateur qui lance 7-Zip. Donc si vous êtes connecté en tant qu’administrateur… vous voyez le tableau. La menace est d’autant plus sérieuse que cette faille nécessite peu d’expertise technique pour être exploitée, bien qu’aucun malware ne la cible encore à ce jour. Ouf !

Mais ne paniquez pas ! Comme souvent en sécurité informatique, il y a une solution simple : mettre à jour !!!

Les développeurs de 7-Zip ont réagi rapidement et ont corrigé cette faille dans la version 24.07. Le hic, c’est que contrairement à beaucoup de logiciels modernes, 7-Zip ne dispose pas de système de mise à jour automatique. Il va donc falloir retrousser vos manches et faire la mise à jour manuellement.

Pour vérifier votre version actuelle de 7-Zip, ouvrez 7-Zip File Manager, cliquez sur “Aide” puis “À propos de 7-Zip” et regardez le numéro de version affiché

Si vous voyez un numéro inférieur à 24.07, direction le site officiel de 7-Zip pour télécharger la dernière version !

Bref comme d’hab :

• Méfiez-vous des archives de sources inconnues : comme pour les pièces jointes par email, la prudence est de mise
• Scannez les archives suspectes avec votre antivirus avant de les ouvrir
• Évitez d’ouvrir des archives en tant qu’administrateur sauf si vraiment nécessaire
• Gardez une sauvegarde de vos données importantes au cas où

Pour les administrateurs système et les développeurs qui utilisent 7-Zip dans leurs applications, c’est doublement important de faire cette mise à jour. Non seulement pour protéger leurs propres systèmes, mais aussi pour éviter de propager des versions vulnérables via leurs produits.

Cette vulnérabilité, initialement signalée en juin 2024 vient d’être divulguée publiquement le 20 novembre 2024 dernier et si vous voulez plus de détails, c’est sur l’avis de sécurité officiel du CERT-EU.

Source