7-Zip 文件压缩工具中发现了一个漏洞,允许攻击者通过特制的存档远程执行恶意代码。
为了解决这个问题,开发人员发布了一个必须手动安装的更新,因为该程序不支持自动安装更新。
该漏洞报告为 CVE-2024-11477,CVSS 严重性评分为 7.8,是由于使用 Zstandard 算法处理压缩文件时输入验证不足造成的。
这可能导致内存溢出和恶意代码注入。
Zstandard由于其高压缩速度和效率而广泛应用于Btrfs、SquashFS和OpenZFS等系统以及HTTP压缩。
攻击者可以通过向 7-Zip 用户发送特制档案(例如通过电子邮件或网络共享)来利用此漏洞。
打开此类文件可能会引入恶意代码。
该问题由趋势科技零日计划的研究人员于 2024 年 6 月发现,并在 7-Zip 版本 24.07 中修复。
目前更新版本24.08已经发布,可以从该程序的官方网站下载。
建议用户安装最新版本,或者如果不需要使用 7-Zip,请卸载该程序。
因为现代版本的 Windows 文件资源管理器默认支持 7-Zip 文件。
原文始发于微信公众号(网络研究观):7-Zip 文件压缩工具中的漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论