アップデート配布前なので詳細はマスクされているんだけど、報告されたコードを見る限り、 HTML Helpは単にcmd.exeを実行するランチャーとして使われているだけに見える。 権限昇格自体の原因は「misconfiguration of 7z.dll and heap overflow」と明記されているので、7-Zipの脆弱性かと。
というか、Microsoft HTML Helpはヘルプファイルからコード実行が可能なやべーやつで、 利用が推奨されないレガシーテクノロジーなので、これを使い続けていること自体、7-Zipがちょっとおかしい。 Microsoftに今更直せとかいうのではなく、利用を止めるべき。
7-Zip側の脆弱性に見える (スコア:0)
アップデート配布前なので詳細はマスクされているんだけど、報告されたコードを見る限り、
HTML Helpは単にcmd.exeを実行するランチャーとして使われているだけに見える。
権限昇格自体の原因は「misconfiguration of 7z.dll and heap overflow」と明記されているので、7-Zipの脆弱性かと。
というか、Microsoft HTML Helpはヘルプファイルからコード実行が可能なやべーやつで、
利用が推奨されないレガシーテクノロジーなので、これを使い続けていること自体、7-Zipがちょっとおかしい。
Microsoftに今更直せとかいうのではなく、利用を止めるべき。
https://github.com/kagancapar/CVE-2022-29072 [github.com]
Re: (スコア:0)
.chmファイルは、遥か昔のオンラインソフトなんかを使うと入ってたりする懐かしい逸品ですな。
その前は.hlpだったか。
Re:7-Zip側の脆弱性に見える (スコア:0)
現在
・階層構造を持つドキュメントで
・一つのファイルにまとめられていて
・できれば標準機能で表示できる
となるとどんなファイル形式があるかな?
Re:7-Zip側の脆弱性に見える (スコア:1)
HTMLヘルプの肝は階層構造とかより、キーワードインデックスとかの方だと思う。
PDFとかだと多分普通に検索して順繰りに見ていくしかないけど、HTMLヘルプだと
キーワードが含まれるトピックが列挙されるから探しやすい。
PDFでも同様のインターフェイスを作ろうと思えば作れるんだろうけど、
それができるビュワーは見たことない。
Re: (スコア:0)
階層構造あるし、キーワード一覧もあるし、検索結果も一覧で出るし、無意味なページ分割も掛からないし、戻る進むのヒストリも効くし。
PDFでは全部壊滅してる可能性があるから全然使えん。
ビューアという環境依存に振り回されるよりは素のHTMLのほうがマシ。かもしれん
Re: (スコア:0)
PDF
階層構造はしおりによる疑似階層だけどウチの組織ではこれでCHMの代替になってる
問題はファイルサイズが肥大化しがちなところかな
Re: (スコア:0)
HTML ヘルプの種類 [embarcadero.com]より
・HLP -- WinHelp(非推奨)
・CHM -- HTMLHelp
・HXS -- HTML Help 2.0 Microsoft ヘルプ
・MSHC -- Microsoft Help 3
Microsoft製ヘルプフォーマットの最新はMSHCらしいけど、見たことないなー。
今の主流は、オフラインだったらPDF(階層は章で表現)、最新情報含めてオンラインがメインだろうから普通にHTMLかね。
Re: (スコア:0)
3つ目以降はSDKが公開されておらず、MS自身しか使用していない。「危険だから使うのやめろ」とか言われても「そんなこと百も承知だからとっとと代替よこせ」としか言いようがない。
普通のHTMLとかオンラインヘルプにでもするしかないんですかね
Re: (スコア:0)
ほんとそれよな。
chmだって結構なクセっ気仕様だし、それ以後のヘルプファイルビルドツール公開しない理由って何だろう。
まぁこれを機にchmを代替できそうで軽量でライセンス的にもバンドル可能なヘルプビューアが台頭してくれる事を祈ろう。
Re: (スコア:0)
markdownでいいじゃん。
PowerToysでエクスプローラーからプレビュー表示もできるし。