一、漏洞详情
近期,研究人员披露了流行的开源压缩管理器7-Zip中的一个本地权限提升漏洞(CVE-2022-29072)。
由于7z.dll 的错误配置和堆溢出,Windows 上的7-Zip 21.07版本中,允许在将扩展名为.7z的文件拖到Help>Contents区域时实现权限提升和命令执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
7-Zip版本21.07(Windows)
三、修复建议
目前官方暂未发布此漏洞的安全更新,但研究人员已经发布了此漏洞的两种缓解措施:
1.删除安装文件中的7-zip.chm文件即可。
2.只赋予读取和运行权限(适用于所有用户)。
下载链接:https://www.7-zip.org/