Windows用の人気アーカイバソフト「7-Zip」に、未修正の脆弱性が存在することがわかりました(gHacks)。脆弱性の悪用により、特権昇格や任意のコマンドの実行が可能になるとのことですが、脆弱性を悪用するためにはローカルからPCを操作する必要があるとされています(リモート攻撃はできない)。 脆弱性「CVE-2022-29072」は、7-Zipのヘルプファイル7-zip.chmを悪用した攻撃で、攻撃者は拡張子が7zのファイルを7-Zipの「Help > Contents」のエリアにドラッグ&ドロップする必要があります。 このため緩和策としてヘルプファイルを削除する方法が有効で、以下の手順で実行できます。 ファイルエクスプローラーで「C:\Program Files\7-Zip」あるいは「C:\Program Files (x86)\7-Zip」を開く。どちらが存在するかは64bit版、
![Windows用の人気アーカイバ 7-Zipに未修正の脆弱性が存在、緩和策はこちら | ソフトアンテナ](https://cdn-ak-scissors.b.st-hatena.com/image/square/5890b66f90f78f6dc8e1f76979da646ca02d7e64/height=288;version=1;width=512/https%3A%2F%2Fsoftantenna.com%2Fblog%2Fwp-content%2Fuploads%2F2022%2F04%2F7-zip-1.jpg)