岩猫星空网
近日,知名压缩工具 7-Zip 被曝出了严重的安全漏洞,该漏洞编号为 CVE-2024-11477,允许远程攻击者执行恶意代码。
漏洞需要在用户解压缩 Zstandard 格式时才能暴露,攻击者如果制作特殊的压缩档案,并诱导用户开启就有可能激活该漏洞。
据介绍,漏洞存在于 Zstandard 解压缩的实现中。此问题由于未正确验证用户提供的数据而引发,这可能导致在写入内存之前出现整数下溢。攻击者可以利用此漏洞在当前进程的上下文中执行代码,但要利用此漏洞,需要与此库交互,但攻击媒介可能因实施而异。
根据趋势科技安全研究部的 Nicholas Zubrisky 的说法,攻击者可以通过说服用户打开精心准备的存档来利用此漏洞,这些存档可以通过电子邮件附件或共享文件分发。
Zstandard 格式在 Linux 环境中尤为普遍,通常用于各种文件系统,包括 Btrfs、SquashFS 和 OpenZFS。
漏洞影响
缓解措施和修复
开发商也提醒用户主动更新 7-Zip 以避免潜在风险。
未经允许不得转载:岩猫星空网 » 开源压缩软件 7-Zip 被曝严重安全漏洞
