7-Zip 发现一个提权漏洞

7-Zip发现一个提权漏洞开源压缩程序7-Zip中发现了一个安全漏洞。该漏洞可能导致攻击者被赋予更高的权利。该漏洞被称为CVE-2022-29072。正如Deskmodder所写,该漏洞影响到7-Zip的构建,直到目前的21.07版本。攻击者可以选择操纵输入,从而获得更高权限。据说还有可能通过网络执行输入,从而利用这个漏洞。目前还不清楚是否已经存在漏洞并在实践中使用。…通常,7-Zip的更新很快就会推出,它将消除这个错误并调整帮助文件。。——winfuture

相关推荐

封面图片

[ 7-Zip发现多个高危漏洞]

[7-Zip发现多个高危漏洞]思科Talos安全团队的研究人员报告在流行的开源解压缩工具7-Zip中发现多个可利用的漏洞。7-Zip刚刚释出了最新版的v16.00修复了漏洞,使用7-Zip用户建议尽快升级。研究人员称,7-Zip处理UniversalDiskFormat(UDF)文件的方法CInArchive::ReadFileItem存在越界读漏洞,能被任何包含畸形LongAllocationDescriptor的条目触发。另一个可被利用的是堆溢出漏洞,存在于Archive::NHfs::CHandler::ExtractZlibFile方法中。两个漏洞都是有缺陷的输入验证导致的。数据输入验证对所有软件的安全都是至关重要的。http://blog.talosintel.com/2016/05/multiple-7-zip-vulnerabilities.html
封面图片

研究人员发现一个新的 Linux 内核提权漏洞

研究人员发现一个新的Linux内核提权漏洞Linux内核中的一个容易被利用的漏洞(CVE-2022-0847)可以被本地无权用户利用,通过利用已经公开的漏洞在脆弱的系统上获得root权限。由安全研究员MaxKellermann发现的这个缺陷--他称之为DirtyPipe,因为它与DirtyCow缺陷相似--已经在Linux内核和Android内核中打了补丁。受影响的Linux发行版正在推送带有该补丁的安全更新。...Kellerman写的关于他如何发现该漏洞的文章是安全研究人员的一个重要信息来源,包括他的PoC漏洞。其他研究人员也想出了一些变化。这个漏洞显然很容易被利用,尽管它不能被远程利用--攻击者需要事先访问一个有漏洞的主机来部署利用程序。尽管如此,如果DirtyCow缺陷被攻击者在实际利用,你可以肯定他们也会利用DirtyPipe。——
封面图片

俄语版的带毒7-Zip在微软应用商店骗了很多中文用户 目前已被微软下架

俄语版的带毒7-Zip在微软应用商店骗了很多中文用户目前已被微软下架据企业安全公司奇安信本月中旬发布的消息,奇安信威胁情报中心在日常运营中发现了一个异常行为,一个名为WindowsPackageManagerServer的进程经过复杂的操作最终启动了面纱的LummaSealer。针对该异常奇安信进行了调查,随后发现根源之一竟然来自微软商店,一款俄语版的7-Zip携带了相关病毒。()投稿:@TNSubmbot频道:@TestFlightCN
封面图片

7-Zip(压缩解压缩软件) v23.01 美化增强版

名称:7-Zip(压缩解压缩软件)v23.01美化增强版描述:7-Zip是一款免费的文件压缩/解压软件,拥有极高的压缩率。它特有的高解压速率,是其它的压缩软件难以相比的。它源自LZ77的优化改进的LZMA算法,具有高压缩率、可变的字典大小、高解压速率、低解压内存消耗等优点,现已被很多脚本安装程序作为默认的压缩算法。链接:https://pan.quark.cn/s/b15c153ae440大小:3.1M标签:#压缩#解压缩#quark频道:@yunpanshare群组:@yunpangroup
封面图片

一个叹号即可导致任意代码执行,Windows也曝“log4j漏洞”

一个叹号即可导致任意代码执行,Windows也曝“log4j漏洞”据,其最近一项研究发现了MicrosoftOutlook中的一个重大安全漏洞,允许攻击者在受害者的计算机上执行任意代码。微软已确认此漏洞,并且给予了该漏洞9.8分(满分10分)的CVSS严重性评分。据了解,CheckPoint的安全研究员HaifeiLi发现了此漏洞(CVE-2024-21413),并将之命名为#MonikerLink。当用户使用易受攻击的MicrosoftOutlook版本点击带有恶意链接的电子邮件时,就会导致远程代码执行(RCE),并且该漏洞还使攻击者能够绕过Office文档的受保护视图。CheckPoint表示,其已确认这个#MonikerLink漏洞在最新的Windows10/11+Microsoft365(Office2021)环境中存在。并且其他Office版本/版本也可能受到影响。CheckPoint认为这是一个被忽视的问题,它在Windows/COM生态系统中存在了几十年——因为它存在于COMAPI的核心。微软在2024年2月“星期二补丁”中已修复此漏洞,强烈建议所有Outlook用户尽快更新。投稿:@TNSubmbot频道:@TestFlightCN
封面图片

微软在 TikTok for Android 中发现一个“高严重性漏洞”,攻击者能接管点击恶意链接的账户

微软在TikTokforAndroid中发现一个“高严重性漏洞”,攻击者能接管点击恶意链接的账户安卓版TikTok应用的一个漏洞可能让攻击者接管任何点击恶意链接的账户,可能影响该平台的数亿用户。今天,微软365防御研究小组的研究人员在一篇中披露了一键式攻击的细节。微软向TikTok披露了这一漏洞,此后已打上补丁。该漏洞及其导致的攻击被称为"高严重性漏洞",一旦任何TikTok用户点击一个特制的链接,就可以在他们不知情的情况下劫持他们的账户。点击该链接后,攻击者可以访问账户的所有主要功能,包括上传和发布视频的能力,向其他用户发送消息,以及查看存储在账户中的私人视频。潜在的影响是巨大的,因为它影响了安卓TikTok应用的所有全球变体,该应用在谷歌应用商店的总下载量超过了15亿次。然而,没有证据表明它被坏人利用了,TikTok发言人莫琳-沙纳汉说:"参与发现和披露的研究人员赞扬了TikTok的快速反应。"——

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人