漏洞描述:
7-Zip是一款免费的开源文件压缩和解压工具,支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式,7-Zip中修复了一个代码执行漏洞(CVE-2024-11477),该漏洞的CVSS评分为7.8。
7-Zip Zstandard解压缩实现中存在漏洞,由于对用户提供的数据缺乏适当验证,可能导致在写入内存前发生整数下溢,攻击者可能通过构造包含特制数据或压缩内容的恶意文件并诱使目标用户解压,当目标用户使用受影响的7-Zip解压缩该文件时可能触发漏洞,从而可能导致在受影响的7-Zip安装上执行任意代码。
影响范围:
7-Zip <24.07
修复建议:
升级版本
目前该漏洞已经修复,受影响用户可升级到以下版本:
7-Zip >=24.07
下载链接:
https://www.7-zip.org/
临时措施:
暂无
原文始发于微信公众号(飓风网络安全):【漏洞预警】7-Zip代码执行漏洞CVE-2024-11477
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论