关于7-Zip权限提升漏洞(CVE-2022-29072)的预警提示

发布时间:2022-04-20浏览次数:809

一、漏洞详情

近期,研究人员披露了流行的开源压缩管理器7-Zip中的一个本地权限提升漏洞(CVE-2022-29072)。

由于7z.dll的错误配置和堆溢出,Windows上的7-Zip 21.07版本中,允许在将扩展名为.7z的文件拖到Help>Contents区域时实现权限提升和命令执行。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

7-Zip版本21.07Windows

三、修复建议

目前官方暂未发布此漏洞的安全更新,但研究人员已经发布了此漏洞的两种缓解措施:

1.删除安装文件中的7-zip.chm文件即可。

2.只赋予读取和运行权限(适用于所有用户)

下载链接:https://www.7-zip.org/