免費的解壓縮神軟7-zip,突然被安全人員千夫所指。
原來,Github用戶Kagancapar發(fā)現(xiàn)了一個重大安全漏洞,編號CVE-2022-29072。
該漏洞表現(xiàn)為,在Windows中,將.7z擴展的文件拖入幫助-內(nèi)容區(qū)域中會觸發(fā)內(nèi)存溢出,進而暴露管理員權(quán)限。
由于該漏洞依賴與Windows幫助進程hh.exe的交互,所以對其它系統(tǒng)平臺無影響。
遺憾的是,截稿前的7-zip最新版版v21.07(去年12月發(fā)布)并未包含對該漏洞的修復。
如果你特別擔心,那么也有一些規(guī)避方法分享:
1、手動刪除7-zip.chm
2、將7-zip權(quán)限設定為只讀和運行
評論