慎用，知名压缩工具7-Zip存在严重漏洞

近日，慎用主流文件压缩工具7-Zip被曝存在一个严重的知名安全漏洞，允许远程攻击者通过精心制作的压缩严重存档执行恶意代码。该漏洞编号为CVE-2024-11477，工具CVSS评分7.8分，漏洞表明受影响版本的慎用用户面临重大安全风险。

漏洞存在于 Zstandard 解压缩的知名实现中。此问题是压缩严重由于未正确验证用户提供的数据而导致的，这可能导致在写入内存之前出现整数下溢。工具攻击者可以利用此漏洞在当前进程的漏洞上下文中执行代码，但要利用此漏洞，慎用需要与此库交互，知名但攻击媒介可能因实施而异。压缩严重

根据趋势科技安全研究部的b2b供应网工具Nicholas Zubrisky的说法，攻击者可以通过说服用户打开精心准备的漏洞存档来利用此漏洞，这些存档可以通过电子邮件附件或共享文件分发。

Zstandard格式在Linux环境中尤为普遍，通常用于各种文件系统，包括Btrfs、SquashFS和OpenZFS。

漏洞影响在受影响的系统上执行任意代码获得与登录用户相同的访问权限可能实现完全的系统绕过缓解措施和修复

7-Zip已在24.07版本中解决了此安全问题。由于该软件缺乏集成的更新机制，用户必须手动下载并安装最新版本以保护其系统，官网地址：https://www.7-zip.org/

在企业环境中使用7-Zip的IT管理员和软件开发者应立即将其安装更新为已修补的版本。需要注意的是源码库，由于7-Zip钓鱼邮件和带病毒的假冒产品非常多，在搜索引擎中搜索下载时请注意甄别。

该漏洞最初于2024年6月，安全研究人员向7-Zip报告了该漏洞，并于11月20日公开披露。尽管目前没有已知的恶意软件针对此漏洞。，但安全专家强烈建议用户及时修补，因为利用该漏洞所需的技术专业知识最少，

这一事件突显了应用程序安全中输入验证的关键重要性，特别是在处理可能不受信任的数据时，使用7-Zip或包含其功能的产品组织和个体应优先更新到最新版本以维护系统安全。

参考来源：https://cybersecuritynews.com/7-zip-vulnerability-arbitrary-code/

高防服务器

本文地址：http://www.bzve.cn/html/431b2699542.html