未分類

7-Zip 疑似漏洞 (CVE-2022-29072)

近日有新聞指 7-Zip 有個讓一般使用者獲取管理員權限的漏洞 (CVE-2022-29072)。雖然具有爭議,不過還是記錄一下解決方法。

近日,新聞報導指出 7-Zip 存在一個能讓普通用戶獲取管理員權限的漏洞 CVE-2022-29072

雖然具有爭議,不過還是記錄一下解決方法。

解決方案

由於官方尚未推出新版本,因此我們可以參考 Tom’s Hardware 提供的兩種解決方法:

1
2

首先,如果 7-zip 不更新,刪除 7-zip.chm 文件就足夠關閉這個漏洞。
其次,7-zip 程序應只有讀取和運行的權限。(對所有用戶)

也就是說,我們可以刪除這個可能無人瀏覽的幫助文件C:\Program Files\7-Zip\7-zip.chm

7-zip vulnerability

References

https://www.ithome.com.tw/news/150502

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29072

https://www.tomshardware.com/news/7-zip-zero-day-exploit

comments powered by Disqus