研究人員發現知名壓縮工具7-Zip Windows版App有項漏洞,可讓攻擊者取得管理員權限並在電腦執行指令。

編號CVE-2022-29072的漏洞是由代號Kagancapar的土耳其研究人員發現,這項漏洞出在7-Zip軟體中的7z.dll檔組態錯誤,讓攻擊者可將一個副檔名為.7z的檔案拖放到Windows Helper工具的Help>Content視窗窗格中,導致7zFM.exe的記憶體堆積溢位,其結果是讓具一般權限的使用者升級到管理員權限,並執行指令。不過也有其他研究人員指出,並未發現該漏洞有權限升級的情形。

本漏洞影響21.07版本(目前的最新版)以及之前版本的7-Zip Windows App。目前7-Zip開發組織尚未有更新版釋出。

在更新版本出爐之前,專業網站Tom's Hardware 建議2個方法。首先,刪除7-Zip.chm檔可解決這項漏洞。其次,7-Zip程式應設定所有用戶只有讀取和執行的權限。


熱門新聞

Advertisement