Los fallos de seguridad son una constante hoy en día en cualquier pieza de software, y se notifican cientos de ellos cada día, pública o privadamente, pero generalmente son poco graves. Uno notificado recientemente sobre 7-Zip hacía soltar las alarmas porque aparentemente permitía fácilmente un escalado de privilegios de manera remota, al menos en boca de su descubridor que lo hizo público en GitHub. Pero otros investigadores más reputados y conocidos, incluido los del Proyecto Cero dentro de Google, le han quitado hierro al asunto.
El código de vulnerabilidad que tiene es el CVE-2022-29072, y la información al respecto ha sido disputada por varios investigadores. Al parecer este fallo de seguridad solo puede realizarse editando el registro del sistema, y por no tanto no es una vulnerabilidad explotable remotamente. Tampoco parece que permita un escalado de privilegios, por lo que se quedaría en una mera ejecución de código arbitrario a través de que 7-Zip abra un archivo con extensión .7z.
Ahí ya depende de los permisos del usuario actual del equipo, que si tiene privilegios de administrador podrá hacer más perrerías en el equipo que un usuario sin permisos de administrador. Pero al necesitar acceso al equipo, esta supuesta vulnerabilidad dejaría de serlo o sería de baja severidad.
