7-Zip 爆安全漏洞,駭客可取得 Windows 系統權限

作者 | 發布日期 2022 年 04 月 23 日 0:00 | 分類 Windows , 資訊安全 , 軟體、系統 Telegram share ! follow us in feedly


研究人員發現,名壓縮工具 7-Zip 的 Windows 版有漏洞,駭客可透過取得用戶 Windows 系統管理員權限,執行任意指令。

代號 Kagancapar 的土耳其研究人員發現,7-Zip 軟體 Windows 版 7z.dll 檔案有個漏洞,惡意攻擊者可將副檔名 .7z 的檔案放到 Windows Helper 工具的 Help→Content 視窗,讓 7zFM.exe 記憶體堆積溢位,造成只有一般權限的使用者升級成管理員,可執行任何指令。

漏洞影響 21.07 版以前 Windows 軟體。由於 21.07 版為官網最新版(截稿前官方都未推出更新版本),幾乎所有 7-Zip Windows 版程式都有風險。外媒 Tom′s Hardware 建議,可刪除 7-Zip 檔案資料夾 7-Zip.chm 檔案,或設定「7-Zip」權限為只能讀取及執行。

▲ 截稿前官網,最新版仍為 21.07,與研究人員找到有漏洞版本相同,官方還未公布更新版。

(本文由 Unwire HK 授權轉載;首圖來源:維基百科

關鍵字: ,