一、漏洞详情

近期，研究人员披露了流行的开源压缩管理器7-Zip中的一个本地权限提升漏洞（CVE-2022-29072）。

由于7z.dll 的错误配置和堆溢出，Windows 上的7-Zip 21.07版本中，允许在将扩展名为.7z的文件拖到Help>Contents区域时实现权限提升和命令执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

7-Zip版本21.07（Windows）

三、修复建议

目前官方暂未发布此漏洞的安全更新，但研究人员已经发布了此漏洞的两种缓解措施：

1.删除安装文件中的7-zip.chm文件即可。

2.只赋予读取和运行权限(适用于所有用户)。

下载链接：https://www.7-zip.org/