アップデート配布前なので詳細はマスクされているんだけど、報告されたコードを見る限り、 HTML Helpは単にcmd.exeを実行するランチャーとして使われているだけに見える。 権限昇格自体の原因は「misconfiguration of 7z.dll and heap overflow」と明記されているので、7-Zipの脆弱性かと。
というか、Microsoft HTML Helpはヘルプファイルからコード実行が可能なやべーやつで、 利用が推奨されないレガシーテクノロジーなので、これを使い続けていること自体、7-Zipがちょっとおかしい。 Microsoftに今更直せとかいうのではなく、利用を止めるべき。
7-Zip側の脆弱性に見える (スコア:0)
アップデート配布前なので詳細はマスクされているんだけど、報告されたコードを見る限り、
HTML Helpは単にcmd.exeを実行するランチャーとして使われているだけに見える。
権限昇格自体の原因は「misconfiguration of 7z.dll and heap overflow」と明記されているので、7-Zipの脆弱性かと。
というか、Microsoft HTML Helpはヘルプファイルからコード実行が可能なやべーやつで、
利用が推奨されないレガシーテクノロジーなので、これを使い続けていること自体、7-Zipがちょっとおかしい。
Microsoftに今更直せとかいうのではなく、利用を止めるべき。
https://github.com/kagancapar/CVE-2022-29072 [github.com]
Re: (スコア:0)
.chmファイルは、遥か昔のオンラインソフトなんかを使うと入ってたりする懐かしい逸品ですな。
その前は.hlpだったか。
Re: (スコア:0)
現在
・階層構造を持つドキュメントで
・一つのファイルにまとめられていて
・できれば標準機能で表示できる
となるとどんなファイル形式があるかな?
Re: (スコア:1)
HTMLヘルプの肝は階層構造とかより、キーワードインデックスとかの方だと思う。
PDFとかだと多分普通に検索して順繰りに見ていくしかないけど、HTMLヘルプだと
キーワードが含まれるトピックが列挙されるから探しやすい。
PDFでも同様のインターフェイスを作ろうと思えば作れるんだろうけど、
それができるビュワーは見たことない。
Re:7-Zip側の脆弱性に見える (スコア:0)
階層構造あるし、キーワード一覧もあるし、検索結果も一覧で出るし、無意味なページ分割も掛からないし、戻る進むのヒストリも効くし。
PDFでは全部壊滅してる可能性があるから全然使えん。
ビューアという環境依存に振り回されるよりは素のHTMLのほうがマシ。かもしれん