最好看的新闻,最实用的信息
11月01日 12.7°C-14.2°C
澳元 : 人民币=4.68
墨尔本
今日澳洲app下载
登录 注册

7-Zip被爆零日安全漏洞:可提权执行代码 但用户可简单操作使其失效

2022-04-19 来源: cnBeta 原文链接 评论0条

7-Zip被爆零日安全漏洞:可提权执行代码 但用户可简单操作使其失效 - 1

它被命名为CVE-2022-29072,影响到运行 21.07 版本的 Windows 用户--截至目前的最新版本。

正如下面的视频所显示的,对系统有有限访问权的攻击者可以通过打开 7-Zip 的“帮助”窗口,在“帮助->内容”下,将一个扩展名为 .7z 的文件拖入该窗口来激活该漏洞。任何具有该扩展名的文件都可以使用。它不一定是一个真正的7z档案。

7-Zip被爆零日安全漏洞:可提权执行代码 但用户可简单操作使其失效 - 2

7-Zip被爆零日安全漏洞:可提权执行代码 但用户可简单操作使其失效 - 3

通过在7zFM.exe进程下运行一个子进程,该漏洞可以提升攻击者的权限,让他们在目标系统上运行命令。恰帕尔将此归咎于7z.dll文件的错误配置和堆溢出。

Windows的HTML帮助文件也可能负有一定的责任,因为其他程序可以通过它允许执行命令。Çapar 提到了一个类似的漏洞,该漏洞通过 Windows HTML 帮助文件和 WinRAR 起作用。

删除 7-Zip 根文件夹中的“7-zip.chm”文件可以缓解这个问题,直到开发人员打上补丁。

转载声明:本文为转载发布,仅代表原作者或原平台态度,不代表我方观点。今日澳洲仅提供信息发布平台,文章或有适当删改。对转载有异议和删稿要求的原著方,可联络[email protected]
今日评论 网友评论仅供其表达个人看法,并不表明网站立场。
最新评论(0)
暂无评论


Copyright Media Today Group Pty Ltd.隐私条款联系我们商务合作加入我们网站地图

法律顾问:AHL法律 – 澳洲最大华人律师行新闻爆料:[email protected]

电话: (03)9448 8479

联系邮箱: [email protected]

友情链接: 华人找房 到家 今日支付Umall今日优选