知名壓縮工具7-Zip近日被曝出存在嚴重安全漏洞,漏洞編號為CVE-2024-11477,CVSS評分7.8分屬高危漏洞。
漏洞主要存在於Zstandard解壓縮的實現中,由於未正確驗證用戶提供的數據,可能導致整數下溢,進而允許攻擊者在當前進程的上下文中執行代碼。Zstandard格式在Linux環境中尤為普遍,常用於多種文件系統,包括Btrfs、SquashFS和OpenZFS。
攻擊者可能通過誘導用戶打開精心準備的惡意存檔來利用此漏洞,這些存檔可能通過電子郵件附件或共享文件分發。攻擊者可以利用它在受影響的系統上執行任意代碼,獲得與登錄用戶相同的訪問權限,甚至可能實現完全的系統繞過。
不過目前沒有已知的惡意軟體針對此漏洞,7-Zip已在24.07版本中解決了此安全問題,建議用戶手動下載並安裝最新版本,因為利用該漏洞所需的技術專業知識最少。
