[新闻] 老牌解压缩软件“7-Zip”惊爆有零日漏洞

楼主: haiduc (小火柴)   2022-04-26 09:17:29
媒体来源: 联合新闻网
老牌解压缩软件“7-Zip”惊爆有零日漏洞?骇客或可能获得Windows电脑权限
2022-04-25 08:45 联合新闻网 / 三嘻行动哇 Yipee!
https://reurl.cc/DyvDVQ
图片及资料来源:Tom′s Hardware
外媒《Tom′s Hardware》报导,资安人员在 Windows 作业系统的知名压缩工具“7-Zip
”发现零日漏洞,这漏洞会让骇客取得电脑的 Windows 系统管理员权限,并且能在远端
执行任意程式码指令和应用程式。
然而就在漏洞被揭发后,由于有其他资安人员发现这漏洞或许不存在,而被列入为争议漏
洞,但为了自己的资讯安全,还是呼吁使用者们要多加小心。
这次的漏洞是由土耳其资安人员 Kagancapar 发现,这次漏洞是在 7z.dll 档案里,只要
将副档名“.7z”的档案拖曳放到 Windows Helper 的视窗中,将会导致 7zFM.exe 记忆
体堆积溢位,造成原本一般权限的使用者升级成电脑管理者,进而取得系统权限可执行任
何指令。
https://youtu.be/NrvlNt5CiBg
https://reurl.cc/OAXDlA
图片及资料来源:Tom′s Hardware
Kagancapar 透露,这个漏洞问题不能全部怪罪 7-Zip 解压缩工具,也与 Windows 的漏
洞有一定程度的关联性。
目前这个漏洞已经被编号为“CVE-2022-29072”,外媒《Tom’s Hardware》建议,
Windows 系统内有安装使用“7-Zip”的使用者要先开启 7-Zip 的档案库,从中删除“
7-Zip.chm”档案,或者将“7-Zip”的权限设定成仅限读取和执行。
不过,就在“CVE-2022-29072”被编号之后,《Tom’s Hardware》的更新报导指出,由
于多个第三方测试报告这漏洞不会导致权限升级,因此这漏洞已经被标记为“争议性漏洞
”。其中 Google Project Zero 资安研究员 Tavis Ormandy 表示,想提升权限只能透过
编辑注册清单和新增管理员帐户等,无法辨别骇客攻击方式。
简单说就是这个漏洞的严重性还有待争议,但是无论如何还是呼吁使用者们要多加小心。
《原文刊登于合作媒体三嘻行动哇,联合新闻网获授权转载。》
https://udn.com/news/story/7086/6263435

Links booklink

Contact Us: admin [ a t ] ucptt.com