7-Zip 文件压缩工具中的漏洞

admin 2024年11月24日11:45:33评论11 views字数 464阅读1分32秒阅读模式

7-Zip 文件压缩工具中的漏洞

7-Zip 文件压缩工具中发现了一个漏洞,允许攻击者通过特制的存档远程执行恶意代码。

为了解决这个问题,开发人员发布了一个必须手动安装的更新,因为该程序不支持自动安装更新。

漏洞报告为 CVE-2024-11477,CVSS 严重性评分为 7.8,是由于使用 Zstandard 算法处理压缩文件时输入验证不足造成的。

这可能导致内存溢出和恶意代码注入。 

Zstandard由于其高压缩速度和效率而广泛应用于Btrfs、SquashFS和OpenZFS等系统以及HTTP压缩。

攻击者可以通过向 7-Zip 用户发送特制档案(例如通过电子邮件或网络共享)来利用此漏洞

打开此类文件可能会引入恶意代码。

该问题由趋势科技零日计划的研究人员于 2024 年 6 月发现,并在 7-Zip 版本 24.07 中修复。

目前更新版本24.08已经发布,可以从该程序的官方网站下载。

建议用户安装最新版本,或者如果不需要使用 7-Zip,请卸载该程序。

因为现代版本的 Windows 文件资源管理器默认支持 7-Zip 文件。

原文始发于微信公众号(网络研究观):7-Zip 文件压缩工具中的漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月24日11:45:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   7-Zip 文件压缩工具中的漏洞http://cn-sec.com/archives/3430360.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息