• はてなブックマーク
  • テクノロジー
  • 解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 ~セキュリティ研究者が明らかに/ヘルプファイルの削除で緩和可能
  • Twitterでシェア
  • Facebookでシェア

解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 ~セキュリティ研究者が明らかに/ヘルプファイルの削除で緩和可能

テクノロジー カテゴリーの変更を依頼 記事元:forest.watch.impress.co.jp
適切な情報に変更
398 usersがブックマーク コメント51

    記事へのコメント51

    • 注目コメント
    • 新着コメント
    pqw
    pqw どうでもいいと思ってる人は動画みたほうがいい。子どもはこういうの見つけるの早いから。俺なら明日、学校のパソコンにSteam入れてヒーローになるね。https://github.com/kagancapar/CVE-2022-29072

    2022/04/19 リンク

    その他
    punychan
    punychan 権限のないユーザーがヘルプに7zを突っ込んで昇格できるってことでしょ。一人で使ってるPCならほぼ関係ないが、普通やらんとかの問題じゃない。

    2022/04/19 リンク

    その他
    lainof
    lainof ヘルプにファイルをドロップするような使い方普通するか?

    2022/04/18 リンク

    その他
    gogatsu26
    gogatsu26 “開発者はこの問題の原因を「hh.exe」(Microsoftのヘルプビューワー)にあるとし、Microsoft側での対応を要求しているとのことだが、「7-Zip」側のヒープオーバーフローも脆弱性の一因となっているのは事実”

    2022/04/18 リンク

    その他
    nmcli
    nmcli 分かりやすさと意外性がまた

    2022/04/18 リンク

    その他
    jt_noSke
    jt_noSke 「この問題はヘルプファイル(7-zip.chm)の削除で緩和が可能」まぁさ、苦情来ることも少ないだろうしヘルプファイルは削除でもよいんでなかろうか

    2022/04/18 リンク

    その他
    saka01
    saka01 わーこれやばそう 配布または共有PCに7zip入れてたら管理者権限がフリーになるってことか

    2022/04/19 リンク

    その他
    TownBeginner
    TownBeginner “Çapar氏によると、この問題はヘルプファイル(7-zip.chm)の削除で緩和が可能。ただし、ヘルプを参照することはできなくなる。”

    2022/04/18 リンク

    その他
    uunfo
    uunfo やらんだろ→「ヘルプビューワーを開くことができるが、ここに拡張子を.7zにしたファイルをドラッグ&ドロップすれば、特権昇格とコマンドの実行が可能になるという。」

    2022/04/18 リンク

    その他
    mfluder
    mfluder “この問題はヘルプファイル(7-zip.chm)の削除で緩和が可能。ただし、ヘルプを参照することはできなくなる。また、もう1つの緩和策として「7-zip」のプログラムに読み取り権限と実行権限のみを設定する方法を紹介してい

    2022/04/18 リンク

    その他
    JULY
    JULY 2022-04-27 現在、「multiple third parties have reported that no privilege escalation can occur」ということで、CVE-2022-29072 は DISPUTED(論争中)になってる。特権取得ができているのか、が焦点の模様。

    2022/04/27 リンク

    その他
    yarumato
    yarumato “原因を hh.exe(Microsoftのヘルプビューワー)にあるとし、Microsoft側での対応を要求しているが、7-Zip側のヒープオーバーフローも脆弱性の一因となっているのは事実で、対策が求められる。”

    2022/04/19 リンク

    その他
    Lhankor_Mhy
    Lhankor_Mhy 普通はそんな使い方しないだろうが、何らかの方法でユーザーに認知されずに同様の現象を起こすことができるということかな?/ ブコメを読んで理解した。さすがはてブ、頼りになる。

    2022/04/19 リンク

    その他
    richard_raw
    richard_raw おっとこれは分かりやすい穴が……。

    2022/04/19 リンク

    その他
    ys0000
    ys0000 特権昇格か。共有PCに7-ZIPが入ってたら色々炸裂するね。

    2022/04/19 リンク

    その他
    hiroshe
    hiroshe なるほど、学校とかの管理者権限がないPCを思いのままにできるのか。いいね。

    2022/04/19 リンク

    その他
    bean_hero
    bean_hero ヘルプウインドウに「ここにファイルをdrag&dropするなよ。絶対するなよ」と書いておけば解決(違

    2022/04/19 リンク

    その他
    urd0401
    urd0401 セキュリティの脆弱性は単なるバグじゃないんすよ

    2022/04/19 リンク

    その他
    masahiror
    masahiror 一般権限しかないPCで、もしかしてそこにexplorer.exeを突っ込めば、HDDの全ファイル見えたりいじったり、そこからコントロールパネルを開いて管理者権限を与えたりできてしまうのかな

    2022/04/19 リンク

    その他
    saikyo_tongaricorn
    saikyo_tongaricorn ヘルプビューアって生涯で数回しか使ったことないし、それで救われたこともない

    2022/04/19 リンク

    その他
    goldenPaOoon
    goldenPaOoon 7z攻撃にあった人、救われる??

    2022/04/19 リンク

    その他
    tettekete37564
    tettekete37564 致命傷で済む奴wwwwしかも超お手軽[security]

    2022/04/19 リンク

    その他
    ya--mada
    ya--mada なんで?ヘルプビューワって特権持ってるの?

    2022/04/19 リンク

    その他
    akghuaiooajt
    akghuaiooajt まぁ削除 ですね。ダジャレの人は、つけてくれるからわかりやすい

    2022/04/19 リンク

    その他
    kotaponx
    kotaponx めっちゃカジュアルに権限昇格が出来るな。

    2022/04/19 リンク

    その他
    ext3
    ext3 ヘルプの削除でいけるんならまあ、他の奴にも同じ脆弱性あるのでは

    2022/04/19 リンク

    その他
    mohno
    mohno 標準ユーザーで使わせてるパソコンに7-Zipが入ってると、管理者として操作できるようになる、ということかな。ちょっとキツイな。特定のヘルプファイルでバッファオーバーフローが起きる、あたりなんだろうか。

    2022/04/19 リンク

    その他
    qrucifix
    qrucifix よく見つけたなあ

    2022/04/19 リンク

    その他
    saka01
    saka01 わーこれやばそう 配布または共有PCに7zip入れてたら管理者権限がフリーになるってことか

    2022/04/19 リンク

    その他
    y-pak
    y-pak フリーソフトのWINRARが最強やな

    2022/04/19 リンク

    その他
    pqw
    pqw どうでもいいと思ってる人は動画みたほうがいい。子どもはこういうの見つけるの早いから。俺なら明日、学校のパソコンにSteam入れてヒーローになるね。https://github.com/kagancapar/CVE-2022-29072

    2022/04/19 リンク

    その他
    punychan
    punychan 権限のないユーザーがヘルプに7zを突っ込んで昇格できるってことでしょ。一人で使ってるPCならほぼ関係ないが、普通やらんとかの問題じゃない。

    2022/04/19 リンク

    その他
    boxshiitake
    boxshiitake 面白いけどこの脆弱性踏む人いるのかな

    2022/04/19 リンク

    その他
    adsty
    adsty 特殊な操作で特権昇格とコマンドの実行が可能になる。

    2022/04/18 リンク

    その他
    yoiIT
    yoiIT “「7-Zip」は[ヘルプ]-[ヘルプの表示]メニューでヘルプビューワーを開くことができるが、ここに拡張子を.7zにしたファイルをドラッグ&ドロップすれば、特権昇格とコマンドの実行が可能になる”

    2022/04/18 リンク

    その他
    uunfo
    uunfo やらんだろ→「ヘルプビューワーを開くことができるが、ここに拡張子を.7zにしたファイルをドラッグ&ドロップすれば、特権昇格とコマンドの実行が可能になるという。」

    2022/04/18 リンク

    その他
    formlesswater
    formlesswater コマンドライン版の7za.exeはセーフぽいので誤解なきよう

    2022/04/18 リンク

    その他
    spark7
    spark7 chm滅ぶべしって話でもないのかどっちなのか

    2022/04/18 リンク

    その他
    Falky
    Falky えっなにそれ斬新…!

    2022/04/18 リンク

    その他
    hiroomi
    hiroomi “Windows版「7-Zip」にはファイルマネージャープロセス(7zFM.exe/7-zip.dll)のヒープオーバーフローと「Microsoft HTML ヘルプ」(HTML Help Executable Program/hh.exe)のコマンド実行機能を組み合わせることにより、管理者モードでコマン

    2022/04/18 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式��社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 ~セキュリティ研究者が明らかに/ヘルプファイルの削除で緩和可能

    ブックマークしたユーザー

    • TakayukiN6272022/04/29 TakayukiN627
    • JULY2022/04/27 JULY
    • mjtai2022/04/21 mjtai
    • takaaki1102022/04/21 takaaki110
    • a-hamahama2022/04/20 a-hamahama
    • yuzuk452022/04/20 yuzuk45
    • TsuSUZUKI2022/04/20 TsuSUZUKI
    • nodat2022/04/19 nodat
    • aoiyotsuba2022/04/19 aoiyotsuba
    • enemyoffreedom2022/04/19 enemyoffreedom
    • kiku-chan2022/04/19 kiku-chan
    • labunix2022/04/19 labunix
    • yarumato2022/04/19 yarumato
    • toshiharu_z2022/04/19 toshiharu_z
    • Lhankor_Mhy2022/04/19 Lhankor_Mhy
    • brusky2022/04/19 brusky
    • kamm2022/04/19 kamm
    • richard_raw2022/04/19 richard_raw
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.