尽快升级7-Zip：打开特定7Z文件可能触发任意代码

趋势科技零日计划 (ZDI) 披露，流行的文件压缩程序 7-Zip 目前受到高严重性漏洞的影响，该漏洞允许攻击者在受害者的机器上执行代码。

该漏洞的严重程度评分为 7.8（满分 10 分），影响 24.07 之前的所有 7-Zip 版本。它于 2024 年 6 月 19 日发布，当前版本为 24.08。

由于该程序没有自动更新功能，因此必须手动安装该应用程序及其后续更新。因此，许多系统可能仍然容易受到攻击。

攻击者很容易利用该漏洞。根据 ZDI 的公告，恶意攻击者可以利用7-Zip 解压缩实现中的特定漏洞执行任意代码。

“该问题是由于缺乏对用户提供数据的正确验证而导致的，这可能导致在写入内存之前出现整数下溢。攻击者可以利用此漏洞在当前进程的上下文中执行代码。”该公告写道。

这意味着档案可能被用于恶意活动。不过，至少打开文件可能需要受害者的互动。

趋势科技安全研究员 Nicholas Zubrisky 于 2024 年 6 月 12 日首次报告了该漏洞。

安全公告：https://www.zerodayinitiative.com/advisories/ZDI-24-1532/

新闻链接：

https://cybernews.com/security/7-zip-affected-by-dangerous-vulnerability/

讲述普通人能听懂的安全故事