【无标题】7-Zip漏洞

最新推荐文章于 2023-12-26 16:55:03 发布
最新推荐文章于 2023-12-26 16:55:03 发布
阅读量189 收藏
点赞数
分类专栏: 笔记 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47448513/article/details/124334450
版权

7-Zip 是一款开源的解压缩软件,主要应用在微软 Windows 操作系统上。7-Zip 的作者曾在去年 3 月发布了首个针对 Linux 的官方版本,让 Linux 用户可以使用官方开发的 7-Zip 替换掉年久失修的 p7zip。
近日,研究人员 Kağan Çapar 在 7-Zip 中发现了一个漏洞,该漏洞可能导致黑客被赋予更高的权限以及执行任意指令。该漏洞的 CVE ID 为 CVE-2022-29072,漏洞影响 7-Zip 所有版本,其中也包括目前最新的 21.07 版本。
要想触发该漏洞也十分简单,用户只需将带有 .7z 扩展名的文件拖到 7-Zip 软件窗口即可

而在7-zip中
7-zip.chm 是一个帮助文件,包含关于如何使用和运作 7-Zip 的信息。删除该文件并不会导致功能缺失。删除后,当用户在 7-Zip 文件管理器中选择「帮助 > 内容」或按键盘上的 F1 键时,帮助文件将不再打开。
为了删除该文件,必须首先打开压缩程序的文件夹。一般情况下,该文件可以在 C:\Programs\ 下找到。调出 “7-Zp” 文件夹后,可以简单地通过右键点击删除 7-zip.chm 文件。除了删除 7-zip.chm 文件,用户还可以撤销 7-Zip 程序的写入权限,让 7-Zip 只能运行和读取文件。

来自转载

woc ???
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android中zip解压漏洞分析
08-04
Android中zip解压漏洞分析
解压zip文件可导致目录遍历漏洞修复
Noodles_ck的博客
12-03 1756
解压,遍历目录
Jspxcms-9.5.1由zip解压功能导致的目录穿越漏洞分析
最新发布
st3pby的博客
12-26 693
Jspxcms 是企业级开源网站内容管理系统,支持多组织、多站点、独立管理的网 站群,也支持 Oracle、SQL Server、MySQL 等数据库。Jspxcms-9.5.1 及之前版本的后台 ZIP 文件解压功能存在目录穿越漏洞,攻击者可以利用该漏洞,构造包含恶意 WAR 包的 ZIP 文件,达到 Getshell 的破坏效果。
Android Zip解压缩目录穿越导致文件覆盖漏洞
道阻且长,行则将至。
05-19 3281
文章目录漏洞简述漏洞实例正常压缩包恶意压缩包历史漏洞任意命令执行问题根因分析漏洞防御 漏洞简述 zip 类型的压缩包文件中允许存在 ../ 类型的字符串,用于表示上一层级的目录。攻击者可以利用这一特性,通过精心构造 zip 文件,利用多个 ../ 从而改变 zip 包中某个文件的存放位置,达到替换掉原有文件的目的。 那么,如果被替换掉的文件是是 .so、.dex 或 .odex 类型文件,那么攻击者就可以轻易更改原有的代码逻辑,轻则产生本地拒绝服务漏洞,影响应用的可用性,重则可能造成任意代码执行漏洞,危害应
7-Zip 安全漏洞;FASTJSON 2.0 发布;程序员延寿指南…|叨资讯
强哥叨逼叨
04-22 3505
点击关注强哥,还有100多G的面试资料等你来拿 哈喽,大家好,我是强哥。 GitHub停用俄罗斯公司开发者账号;7-Zip 安全漏洞;Git 2.6发布;甲骨文修复 Java “年度加密漏洞”;FASTJSON 2.0 发布;Node.js 18 发布;星星(start)的失而复得;计算机类PDF电子书下载;程序员延寿指南;30 秒的代码;山姆抢购。 科技资讯 GitHub停用俄罗斯公司开发者账号 据俄媒Habr报道,从413日起,GitHub开始屏蔽受美国制裁公司的俄罗斯开发者账户,其中包
7-Zip提权漏洞相关
weixin_51194266的博客
06-21 1280
2022年47-zip漏洞的简单复现以及查到的瓜 说实话瓜的部分多一点(
文件上传漏洞总结
weixin_48427966的博客
04-22 682
1、上传图片,2、下载服务器渲染过的图片,3、用脚本生成payload.jpg,4、上传图片,传参1=phpinfo();
[免费专栏] Android安全之ZIP文件目录遍历漏洞
橙留香Park的博客
08-09 1087
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
7-zip 本地提权漏洞(CVE-2022-29072)
murphysec的博客
04-19 2124
CVE-2022-29072漏洞的产生,是由于21.07版本的7-zip中7z.dll 文件中配置错误和堆溢出引起的问题,该问题导致攻击者可以利用此漏洞对用户进行提权操作,该漏洞利用难度低,影响范围广。 解决方案: 第一种方法:如果 7-zip 没有更新,删除 7-zip.chm 文件就足以关闭漏洞。 第二种方法: 7-zip 程序应该只有读取和运行权限。(适用于所有用户) 具体复现过程可以参考链接:https://github.com/kagancapar/CVE-2022-29072 编号 CV
最新Zip压缩文件漏洞,黑客可以触发目录遍历攻击
w3cschools的博客
06-06 4352
  近日,国内某安全公司研究人员透露了一个关键漏洞的详细信息,该漏洞影响了许多生态系统中的数千个项目,黑客可以利用这些漏洞在目标系统上实现代码执行。  黑客是如何通过Zip压缩文件入侵攻击?被称为“ZipSlip”的问题是一个任意的文件覆盖漏洞,在从档案文件中提取文件时触发目录遍历攻击,并影响包括tar,jar,war,cpio,apk,rar和7z在内的大量压缩文件。  用Google,Orac...
7-Zip 发现多个高危漏洞
weixin_34176694的博客
06-02 419
思科Talos安全团队的研究人员报告在流行的开源解压缩工具7-Zip中发现多个可利用的漏洞7-Zip刚刚释出了最新版的v16.00修复了漏洞,使用7-Zip用户建议尽快升级。研究人员称,7-Zip处理Universal Disk Format(UDF) 文件的方法CInArchive::ReadFileItem存在越界读漏洞,能被任何包含畸形Long ...
Zip文件解析与利用
欢迎关注微信公众号:DroidMind
08-30 8152
我们知道android的apk文件实质就是一个zip文件,所以对于zip文件的研究是非常有必要的。 一、Zip文件结构 1、Zip文件可以包含多个使用不同压缩方式甚至不压缩的文件。 2、File Entry表示一个文件实体,一个压缩文件中有多个文件实体 3、文件实体由一个头部、文件数据和数据描述符组成(压缩后的,压缩算法在头部有说明) 4、Central Directory由多个File...
浅谈zip格式处理逻辑漏洞
cbbbc
10-22 468
前言:zip压缩格式应用广泛,各个平台都有使用,Windows平台使用来压缩文件,Android平台使用来作为apk文件的格式。由于zip文件格式比较复杂,在解析zip文件格式时,如果处理不当,可能导致一些有意思的逻辑漏洞,本篇文章将挑选有意思的漏洞进行解析。 一、文件扩展名欺骗漏洞 很早之前,国外安全研究人员爆料Winrar 4.x版本存在文件扩展名欺骗漏洞,黑客可以通过该漏洞诱骗受害者
Android静态安全检查(二):Zip文件目录遍历攻击漏洞
不忘初心的专栏
07-07 3052
什么是Zip文件遍历        Zip压缩包中,允许文件名存在"../"字符串,攻击者可以利用多个“../”在解压时改变ZIP包中某个文件的存放位置,覆盖掉应用原有的文件。如果被覆盖掉的文件是动态链接so、dex或者odex文件,轻则产生本地拒绝服务漏洞,影响应用的可用性,重则可能造成任意代码执行漏洞,危害用户的设备安全和信息安全。漏洞原理在linux系统中,../代表切换到上一级目录,Jav...
【安全预警】WINRAR,7ZIP,WINZIP等存在严重漏洞
皮皮王的专栏
02-21 1752
漏洞说明】 WinRAR等被曝严重安全漏洞,该漏洞可被攻击者绕过权限提升就能运行WinRAR,而且可以直接将恶意文件放进Windows系统的启动文件夹中。这就意味着当用户下次重新开机的时候,这些恶意文件就能自动运行,让攻击者“完全控制”受害者的计算机。目前全球有超过5亿用户受到WinRAR漏洞影响。(7ZIP,WINZIP等同样存在类似问题)    【预防办法】 1.不要下载不明来历软件...
7-zip权限提升漏洞【CVE-2022-29072】
Armandhe的博客
04-21 1201
7-zip权限提升漏洞【CVE-2022-29072】
Android中利用ZipEntry漏洞实现免root写恶意文件到应用的沙盒中
zz的专栏
08-08 1989
http://blog.csdn.net/jiangwei0910410003/article/details/52118575 版权声明:本文为博主原创文章,未经博主允许不得转载。 目录(?)[-] 一前言二漏洞场景分析三漏洞出现的原因四漏洞案例分析六问题延展七漏洞总结八总结 一、前言 Android中的漏洞真的很多,一不小心就踩到坑了,
Android静态安全检测 -> Zip文件目录遍历漏洞
4lwin博客
11-22 4094
Zip文件目录遍历漏洞 - ZipEntry.getName方法 一、API 1. 继承关系 【1】java.lang.Object 【2】java.util.zip.ZipEntry 2. 主要方法 【1】getName()   返回String(entry的名字) 【2】isDirectory()  返回Boolean(是否为dir
拖动文件就能触发 7-Zip 安全漏洞,波及所有版本
m0_46163918的博客
04-19 5083
7-Zip 中发现了一个漏洞,该漏洞可能导致黑客被赋予更高的权限以及执行任意指令
7-zip设置桌面方式
07-24
要设置7-zip为桌面方式,需要按照以下步骤进行操作: 1. 首先,确保已经下载并安装好了7-zip软件。可以从官方网站(https://www.7-zip.org)下载。 2. 找到桌面上的7-zip图标,这是默认安装时自动生成的。如果找不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值