
7-Zip被爆零日安全漏洞:可提權執(zhí)行代碼 但用戶可簡單操作使其失效
文件壓縮軟件 7-Zip 被爆零日安全漏洞,允許攻擊者提權并執(zhí)行任意代碼。目前開發(fā)團隊并未發(fā)布補丁,但普通用戶可以通過簡單操作來讓這個漏洞失效。上周,研究人員 Ka?an ?apar 發(fā)現(xiàn)并公布了 7-Zip 的一個零日漏洞,該漏洞可以授予權限升級和命令執(zhí)行。
?
它被命名為 CVE-2022-29072,影響到運行 21.07 版本的 Windows 用戶--截至目前的最新版本。
正如下面的視頻所顯示的,對系統(tǒng)有有限訪問權的攻擊者可以通過打開 7-Zip 的“幫助”窗口,在“幫助->內容”下,將一個擴展名為 .7z 的文件拖入該窗口來激活該漏洞。任何具有該擴展名的文件都可以使用。它不一定是一個真正的7z檔案。
通過在7zFM.exe進程下運行一個子進程,該漏洞可以提升攻擊者的權限,讓他們在目標系統(tǒng)上運行命令。恰帕爾將此歸咎于7z.dll文件的錯誤配置和堆溢出。
Windows的HTML幫助文件也可能負有一定的責任,因為其他程序可以通過它允許執(zhí)行命令。?apar 提到了一個類似的漏洞,該漏洞通過 Windows HTML 幫助文件和 WinRAR 起作用。
刪除 7-Zip 根文件夾中的“7-zip.chm”文件可以緩解這個問題,直到開發(fā)人員打上補丁。
[超站]友情鏈接:
四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
關注數(shù)據(jù)與安全,洞悉企業(yè)級服務市場:https://www.ijiandao.com/

隨時掌握互聯(lián)網(wǎng)精彩
- 1 中美完全可以相互成就、共同繁榮 7904542
- 2 加沙已變“死城” 7808595
- 3 暴雨中臺下只剩1名觀眾 演員仍開演 7713223
- 4 近距離感受“大國重器” 7616117
- 5 美國大豆中國訂單量仍為零 7522558
- 6 試管嬰兒患腎病 父母要求醫(yī)院擔全責 7427441
- 7 女子婚后起訴父母返還18萬彩禮 7333211
- 8 網(wǎng)紅“戶晨風”多平臺賬號被封 7232168
- 9 金價飆升 有非法淘金人井下生活兩年 7142626
- 10 特朗普升級辦公室:肉眼可見全是黃金 7045409