媒體來源: 聯合新聞網
老牌解壓縮軟體「7-Zip」驚爆有零日漏洞？駭客或可能獲得Windows電腦權限
2022-04-25 08:45 聯合新聞網 / 三嘻行動哇 Yipee!
https://reurl.cc/DyvDVQ
圖片及資料來源：Tom′s Hardware
外媒《Tom′s Hardware》報導，資安人員在 Windows 作業系統的知名壓縮工具「7-Zip
」發現零日漏洞，這漏洞會讓駭客取得電腦的 Windows 系統管理員權限，並且能在遠端
執行任意程式碼指令和應用程式。
然而就在漏洞被揭發後，由於有其他資安人員發現這漏洞或許不存在，而被列入為爭議漏
洞，但為了自己的資訊安全，還是呼籲使用者們要多加小心。
這次的漏洞是由土耳其資安人員 Kagancapar 發現，這次漏洞是在 7z.dll 檔案裏，只要
將副檔名「.7z」的檔案拖曳放到 Windows Helper 的視窗中，將會導致 7zFM.exe 記憶
體堆積溢位，造成原本一般權限的使用者升級成電腦管理者，進而取得系統權限可執行任
何指令。
https://youtu.be/NrvlNt5CiBg
https://reurl.cc/OAXDlA
圖片及資料來源：Tom′s Hardware
Kagancapar 透露，這個漏洞問題不能全部怪罪 7-Zip 解壓縮工具，也與 Windows 的漏
洞有一定程度的關聯性。
目前這個漏洞已經被編號為「CVE-2022-29072」，外媒《Tom’s Hardware》建議，
Windows 系統內有安裝使用「7-Zip」的使用者要先開啟 7-Zip 的檔案庫，從中刪除「
7-Zip.chm」檔案，或者將「7-Zip」的權限設定成僅限讀取和執行。
不過，就在「CVE-2022-29072」被編號之後，《Tom’s Hardware》的更新報導指出，由
於多個第三方測試報告這漏洞不會導致權限升級，因此這漏洞已經被標記為「爭議性漏洞
」。其中 Google Project Zero 資安研究員 Tavis Ormandy 表示，想提升權限只能透過
編輯註冊清單和新增管理員帳戶等，無法辨別駭客攻擊方式。
簡單說就是這個漏洞的嚴重性還有待爭議，但是無論如何還是呼籲使用者們要多加小心。
《原文刊登於合作媒體三嘻行動哇，聯合新聞網獲授權轉載。》
https://udn.com/news/story/7086/6263435