引用元
発見者のKağan Çapar氏の記事(トルコ語)
https://github.com/kagancapar/CVE-2022-29072
7-zipの脆弱性について
4月16日、セキュリティ研究科のKağan Çapar氏が7-zipに未修正の脆弱性が存在することを発見し、gitHub上でその内容を公開した。
現在の7-zipの最新バージョンは「7-Zip 21.07」であるが、最新バージョンも含めて、脆弱性が存在するとのこと。
脆弱性は以下の2点
・7zでのコマンド実行の脆弱性。問題のある7zファイルを7-zipで実行した場合、PCを危険にさらす可能性がある。
・MSヘルプビューアーの特権昇格の脆弱性。特権のないユーザーが管理者権限を取得できる可能性がある。
脆弱性について議論しているスレッドを見ていると、悪影響を及ぼすOSはwindowsのみで、問題のある7zファイルをヘルプウィンドウにドラッグアンドドロップを行うと問題が発生するとのこと。(そんなこと誰がやるのか?)
対策
対策は、ヘルプウィンドウを表示させないよう、7-zip.chmを削除すれば良いとのこと。
言わずもがな、ヘルプウィンドウが使えなくなるが、使っている人いるのかな
