0x00 漏洞概述
CVE ID | CVE-2022-29072 | 发现时间 | 2022-04-16 |
类 型 | 权限提升 | 等 级 | 高危 |
远程利用 | 否 | 影响范围 | |
攻击复杂度 | 用户交互 | ||
PoC/EXP | 在野利用 |
0x01 漏洞详情
4月16日,研究人员披露了流行的开源压缩管理器7-Zip中的一个本地权限提升漏洞(CVE-2022-29072)。
由于7z.dll 的错误配置和堆溢出,在Windows 上的 7-Zip 中,允许在将扩展名为 .7z 的文件拖到Help>Contents区域时实现权限提升和命令执行。
影响范围
7-Zip版本 <= 21.07(Windows)
0x02 安全建议
目前官方暂未发布此漏洞的安全更新,但研究人员已经发布了此漏洞的两种缓解措施:
1.删除安装文件中的7-zip.chm文件即可。
2.只赋予读取和运行权限(适用于所有用户)。
下载链接:
https://www.7-zip.org/
0x03 参考链接
https://github.com/kagancapar/CVE-2022-29072
https://nvd.nist.gov/vuln/detail/CVE-2022-29072
https://securityonline.info/cve-2022-29072-7-zip-privilege-escalation-vulnerability/
声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
