
新闻分类
7-Zip被爆零日安全漏洞:可提权执行代码 但用户可简单操作使其失效
文件压缩软件 7-Zip 被爆零日安全漏洞,允许攻击者提权并执行任意代码。目前开发团队并未发布补丁,但普通用户可以通过简单操作来让这个漏洞失效。上周,研究人员 Kağan Çapar 发现并公布了 7-Zip 的一个零日漏洞,该漏洞可以授予权限升级和命令执行。
它被命名为 CVE-2022-29072,影响到运行 21.07 版本的 Windows 用户--截至目前的最新版本。
正如下面的视频所显示的,对系统有有限访问权的攻击者可以通过打开 7-Zip 的“帮助”窗口,在“帮助->内容”下,将一个扩展名为 .7z 的文件拖入该窗口来激活该漏洞。任何具有该扩展名的文件都可以使用。它不一定是一个真正的7z档案。
通过在7zFM.exe进程下运行一个子进程,该漏洞可以提升攻击者的权限,让他们在目标系统上运行命令。恰帕尔将此归咎于7z.dll文件的错误配置和堆溢出。
Windows的HTML帮助文件也可能负有一定的责任,因为其他程序可以通过它允许执行命令。Çapar 提到了一个类似的漏洞,该漏洞通过 Windows HTML 帮助文件和 WinRAR 起作用。
删除 7-Zip 根文件夹中的“7-zip.chm”文件可以缓解这个问题,直到开发人员打上补丁。
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/

随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 使绿水青山产生巨大效益 7903980
- 2 九三阅兵演练现场:武器装备亮相 7809591
- 3 3岁女童头上插刀 系妈妈不慎刺入 7712168
- 4 40℃又来了 这轮高温要持续多久 7617938
- 5 厨师厨房闷一天患热射病 多器官衰竭 7520209
- 6 上海浦东机场“箱子垫垫员”走红 7427668
- 7 护网:不让科技偷走隐私 网警提示 7333298
- 8 微信转账记得加一个动作 7236918
- 9 3女子贵州买房避暑 被树砸致1死2伤 7136058
- 10 多人下班兼职骑手:4小时收入60元 7041974