CVE-2024-11477：7-Zip 中的严重缺陷可让黑客控制

7-Zip 文件压缩工具中发现了一个漏洞，攻击者可以通过特制的存档远程执行恶意代码。为了解决这个问题，开发人员发布了一个更新，但必须手动安装，因为该程序不支持自动更新。

影响范围：7-Zip < 24.07

该漏洞被标识为CVE-2024-11477，在 CVSS 等级中严重性评级为 7.8 。它源于在处理使用Zstandard 算法压缩的文件时输入验证不足，可能导致内存溢出和恶意代码注入。Zstandard 因其高性能和高效的压缩能力而被广泛应用于Btrfs、SquashFS和OpenZFS等系统以及 HTTP 压缩中。

攻击者可以通过向用户发送恶意制作的档案（例如通过电子邮件或共享网络资源）来利用此漏洞。打开此类文件可能会导致执行有害代码。

该问题由Trend Micro 零日计划的研究人员于 2024 年 6 月发现，并已在 7-Zip 24.07 版本中得到解决。最新版本 24.08 现已可在该程序的官方网站上下载。强烈建议用户更新到最新版本，或者如果 7-Zip 不是必需的，则卸载该程序，因为Windows 文件资源管理器的现代版本本身支持 7-Zip 文件。

• 用户应尽快更新 7-Zip 至最新版本。
• 开发者已发布了修复此漏洞的补丁版本，更新后能够解决缓冲区溢出问题。提高数据来源的信任度：用户应避免解压来自不明或不可信来源的压缩文件，特别是 .zst 文件。
• 使用防病毒和反恶意软件工具：安装并保持防病毒软件和安全工具的最新版本，能够帮助识别并阻止恶意文件的执行

原文始发于微信公众号（白帽攻防）：CVE-2024-11477：7-Zip 中的严重缺陷可让黑客控制