拖动文件就能触发 7-Zip 安全漏洞，波及所有版本

7-Zip 是一款开源的解压缩软件，主要应用在微软 Windows 操作系统上。7-Zip 的作者曾在去年 3 月发布了首个针对 Linux 的官方版本，让 Linux 用户可以使用官方开发的 7-Zip 替换掉年久失修的 p7zip。

漏洞是由于 7z.dll 的错误配置和堆栈溢出所导致的。在软件安装后，「帮助 > 内容」区域中的文件通过 Windows HTML Helper 进行工作，但在进行命令注入后，7zFM.exe 下会出现一个子进程，由于 7z.dll 文件存在内存交互，调出的 cmd.exe 子进程会被授予管理员模式。

7-Zip 的开发者暂时还没提供软件更新来修复该漏洞，也尚不清楚 7-Zip 何时会解决该问题。7-Zip 最后一次更新还停留在 2021 年 12 月。

临时解决方法

7-zip.chm是一个帮助文件，包含关于如何使用和运作 7-Zip 的信息。删除该文件并不会导致功能缺失。删除后，当用户在 7-Zip 文件管理器中选择「帮助 > 内容」或按键盘上的 F1 键时，帮助文件将不再打开。