関連記事
解凍・圧縮ソフト「7-Zip」に未修正の脆弱性
記事提供元:スラド
窓の杜の記事によると、オープンソースの解凍・圧縮ソフト「7-Zip」に特権昇格とコマンドの実行が可能になる未修正の脆弱性(CVE-2022-29072)が存在することが分かったという(窓の杜、Penetration Testing、Github)。
v21.07までのWindows版「7-Zip」にはファイルマネージャープロセス(7zFM.exe/7-zip.dll)のヒープオーバーフローと「Microsoft HTML ヘルプ」(HTML Help Executable Program/hh.exe)のコマンド実行機能を組み合わせることで、管理者モードでコマンドが実行できる機能が存在する。ここに拡張子を.7zにしたファイルをドラッグ&ドロップすると特権昇格とコマンドの実行が可能になるとのこと。7-Zipの開発側は原因はMicrosoftのヘルプビューワー側にあると主張している。緩和策としては7-zip.chmのヘルプファイルを削除する方法があるが、最終的には7-zipとMicrosoftのヘルプビューワー両方の修正が必要になる模様。
スラドのコメントを読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ | IT
関連ストーリー:
7-Zipで任意コード実行が可能となる2件の脆弱性 2016年05月15日
圧縮・展開ルーチンに脆弱性、bzip2など相次ぎリリース 2008年03月19日
※この記事はスラドから提供を受けて配信しています。
スポンサードリンク
スポンサードリンク
- 英警察のサブドメイン、海賊版ストリーミングに悪用される 1/29 10:26
- Microsoft、重大なサイバーセキュリティインシデントを米証券取引委員会に報告 1/24 09:07
- 北京市司法局、AirDropによる違法文書配布者を特定可能に 1/17 16:04
- YouTube経由で広がるマルウェアが増加 1/16 17:11
- GoogleとBingが有名人の顔合成したポルノ動画へのアクセス容易にとの指摘 1/15 17:50