|
|
基于安全考虑研究人员在 6 月 12 日通报漏洞,7-Zip 在 6 月 19 日已经发布新版本进行修复,直到现在才披露漏洞,所以各位只需要升级到 7-Zip v24.07 及后续版本即可。
其中修复版本已经于 2024 年 6 月 19 日发布,对应版本号为 7-Zip v24.07 版,之后版本包括截止至本文发布时的最新版即 7-Zip v24.08 版均不受此漏洞影响。
也就是说用户至少需要更新到 v24.07 版才能确保漏洞无法被利用,如果你使用的 7-Zip 仍然是旧版本请立即转到官网下载最新版进行覆盖安装升级。
特别注意:大多数常见的压缩管理器都集成了 7-Zip 的开源模块,这些压缩管理器也必须更新。
漏洞描述:
该漏洞允许远程攻击者在受影响的 7-Zip 版本上执行任意代码,要利用此漏洞需要与库进行交互。
漏洞位于 7-Zip Zstandard 解压缩的实现中,问题原因在于缺乏对用户提供的数据进行适当验证导致的,这可能会导致在写入内存之前出现整数下溢,攻击者可以利用此漏洞在当前进程中的上下文执行代码。
常见的利用场景:
攻击者可以制作特定的压缩文件并通过微信或社交软件诱导用户下载并执行解压操作,当成功利用此漏洞后攻击者可能窃取系统数据甚至接管整个系统。
漏洞信息:
漏洞编号:CVE-2024-11477
CVSS 评分:7.8/10 分
披露时间:2024 年 6 月 12 日通报给 7-Zip 开发者、6 月 19 日发布 v24.07 进行修复、10 月 20 日起协调公布咨询报告
漏洞发现者:趋势科技安全研究部门的 Nicholas Zubrisky
----------------------------------
搜狐网
2024-11-28 09:21:33 作者:姚立伟
近日,Zero Day Initiative(ZDI)团队发布了一篇博文,披露了压缩工具7-Zip中发现的重大漏洞。据公开资料显示,这个漏洞的编号为CVE-2024-11477,在Zstandard解压缩的实现过程中存在,并且在处理用户输入数据时缺少校验功能,可能导致整数下溢并被恶意利用。
攻击者需要诱导用户打开包含恶意内容的压缩文件才能利用该漏洞,目前尚未有证据表明这个漏洞已被黑客广泛使用。然而,CVSS评分为7.8,属于高危级别。
一旦发现了这个漏洞,在今年年初时,ZDI团队报告给了7-Zip团队,并且已经在7-Zip 24.07及后续版本中进行了修复工作。 |
|
[复制链接]
IP卡
狗仔卡
发表于 2024-10-25 08:14:10
显身卡
楼主
