知名压缩工具7-Zip近日曝出严重的安全漏洞,该漏洞编号为CVE-2024-11477,其CVSS评分为7.8,被归类为高危。该漏洞主要存在于Zstandard解压缩的实现中,原因是未正确验证用户提供的数据,导致整数下溢,在当前进程的上下文中可能执行代码。
Zstandard格式在Linux环境中广泛使用,适用于多种文件系统,如Btrfs、SquashFS和OpenZFS。攻击者有可能通过诱使用户打开精心准备的恶意存档来利用这个漏洞。这些存档可能会以电子邮件附件或共享文件的形式分发。
攻击者可以利用这个漏洞在受影响的系统上执行任意代码,并获得与登录用户相同的访问权限,甚至实现完全绕过系统的操作。目前还没有发现针对此漏洞的恶意软件存在。
7-Zip已在24.07版本中解决了这个问题,并建议用户手动下载并安装最新版本。因为利用这个漏洞所需的技术专业知识最少。
这个漏洞最初于2024年6月由安全研究人员向7-Zip报告,并于11月20日公开披露。
新浪科技公众号 “掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
相关新闻 