在流行的文件压缩工具7-Zip中发现了一个高危漏洞(CVE-2024-11477),可能允许攻击者在易受攻击的系统上执行恶意代码。
该漏洞由趋势科技安全研究人员Nicholas Zubrisky发现,存在于程序的Zstandard解压缩功能中。由于对用户提供的数据验证不足,可能发生溢出,进而使攻击者能够在受影响的进程中执行任意代码。
这一漏洞的CVSS评分为7.8,表明存在显著风险。攻击者可能通过诱骗用户打开精心制作的压缩文件来利用这一弱点。成功利用后果可能包括数据被盗或系统完全被攻陷。
安全公告指出,“需要交互才能利用此漏洞”,但并不排除其他可能。
强烈建议立即更新到7-Zip的24.07或更高版本。最新版本已修复该漏洞并解决了溢出的问题。
广告
☟上下滑动查看更多
原文始发于微信公众号(棉花糖fans):著名压缩工具7-Zip 存在远程代码执行漏洞——CVE-2024-11477
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论