アップデート配布前なので詳細はマスクされているんだけど、報告されたコードを見る限り、 HTML Helpは単にcmd.exeを実行するランチャーとして使われているだけに見える。 権限昇格自体の原因は「misconfiguration of 7z.dll and heap overflow」と明記されているので、7-Zipの脆弱性かと。
というか、Microsoft HTML Helpはヘルプファイルからコード実行が可能なやべーやつで、 利用が推奨されないレガシーテクノロジーなので、これを使い続けていること自体、7-Zipがちょっとおかしい。 Microsoftに今更直せとかいうのではなく、利用を止めるべき。
7-Zip側の脆弱性に見える (スコア:0)
アップデート配布前なので詳細はマスクされているんだけど、報告されたコードを見る限り、
HTML Helpは単にcmd.exeを実行するランチャーとして使われているだけに見える。
権限昇格自体の原因は「misconfiguration of 7z.dll and heap overflow」と明記されているので、7-Zipの脆弱性かと。
というか、Microsoft HTML Helpはヘルプファイルからコード実行が可能なやべーやつで、
利用が推奨されないレガシーテクノロジーなので、これを使い続けていること自体、7-Zipがちょっとおかしい。
Microsoftに今更直せとかいうのではなく、利用を止めるべき。
https://github.com/kagancapar/CVE-2022-29072 [github.com]
Re: (スコア:0)
.chmファイルは、遥か昔のオンラインソフトなんかを使うと入ってたりする懐かしい逸品ですな。
その前は.hlpだったか。
Re: (スコア:0)
現在
・階層構造を持つドキュメントで
・一つのファイルにまとめられていて
・できれば標準機能で表示できる
となるとどんなファイル形式があるかな?
Re: (スコア:0)
HTML ヘルプの種類 [embarcadero.com]より
・HLP -- WinHelp(非推奨)
・CHM -- HTMLHelp
・HXS -- HTML Help 2.0 Microsoft ヘルプ
・MSHC -- Microsoft Help 3
Microsoft製ヘルプフォーマットの最新はMSHCらしいけど、見たことないなー。
今の主流は、オフラインだったらPDF(階層は章で表現)、最新情報含めてオンラインがメインだろうから普通にHTMLかね。
Re: (スコア:0)
3つ目以降はSDKが公開されておらず、MS自身しか使用していない。「危険だから使うのやめろ」とか言われても「そんなこと百も承知だからとっとと代替よこせ」としか言いようがない。
普通のHTMLとかオンラインヘルプにでもするしかないんですかね
Re:7-Zip側の脆弱性に見える (スコア:0)
ほんとそれよな。
chmだって結構なクセっ気仕様だし、それ以後のヘルプファイルビルドツール公開しない理由って何だろう。
まぁこれを機にchmを代替できそうで軽量でライセンス的にもバンドル可能なヘルプビューアが台頭してくれる事を祈ろう。
Re: (スコア:0)
markdownでいいじゃん。
PowerToysでエクスプローラーからプレビュー表示もできるし。