老牌解壓縮軟體「7-Zip」驚爆有零日漏洞?駭客或可能獲得 Windows 電腦權限

「加三嘻行動哇 Yipee! 成為好友」

FacebookYoutubeTwitterInstagramTelegramLine

外媒《Tom′s Hardware》報導,資安人員在 Windows 作業系統的知名壓縮工具「7-Zip」發現零日漏洞,這漏洞會讓駭客取得電腦的 Windows 系統管理員權限,並且能在遠端執行任意程式碼指令和應用程式。

然而就在漏洞被揭發後,由於有其他資安人員發現這漏洞或許不存在,而被列入為爭議漏洞,但為了自己的資訊安全,還是呼籲使用者們要多加小心。

這次的漏洞是由土耳其資安人員 Kagancapar 發現,這次漏洞是在 7z.dll 檔案裏,只要將副檔名「.7z」的檔案拖曳放到 Windows Helper 的視窗中,將會導致 7zFM.exe 記憶體堆積溢位,造成原本一般權限的使用者升級成電腦管理者,進而取得系統權限可執行任何指令。

Kagancapar 透露,這個漏洞問題不能全部怪罪 7-Zip 解壓縮工具,也與 Windows 的漏洞有一定程度的關聯性。

目前這個漏洞已經被編號為「CVE-2022-29072」,外媒《Tom’s Hardware》建議,Windows 系統內有安裝使用「7-Zip」的使用者要先開啟 7-Zip 的檔案庫,從中刪除「7-Zip.chm」檔案,或者將「7-Zip」的權限設定成僅限讀取和執行。

不過,就在「CVE-2022-29072」被編號之後,《Tom’s Hardware》的更新報導指出,由於多個第三方測試報告這漏洞不會導致權限升級,因此這漏洞已經被標記為「爭議性漏洞」。其中 Google Project Zero 資安研究員 Tavis Ormandy 表示,想提升權限只能透過編輯註冊清單和新增管理員帳戶等,無法辨別駭客攻擊方式。

簡單說就是這個漏洞的嚴重性還有待爭議,但是無論如何還是呼籲使用者們要多加小心。

延伸閱讀:

小心受騙!假冒虛擬貨幣交易所的釣魚簡訊持續變形

藍牙技術應用預測出爐,2026 年藍牙裝置年出貨量預計將超過 70 億台

Microsoft Edge 發表 99.0.1150.55 版,跟進 Chrome 更新修復零日漏洞

Kaspersky Lab 卡巴斯基被 FCC 聯邦通訊委員會列入美國安全威脅名單中

日本開發增加鹽味的「增味筷子」,重鹹也能享受清淡飲食

圖片及資料來源:Tom′s Hardware

好友人數

大家對網站文章上的一個讚、+1及轉分享,都是對我們的最好的鼓勵及繼續下去的原動力,請大家不要吝嗇。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料

下一頁

蘋果 AirTag 追蹤器立大功!幫男子找回流浪的 3 個行李箱

週日 4 月 24 , 2022
「加三嘻行動哇 Yipee! 成為好友」 【Facebook、Youtube、Twitter、Ins […]
Shares