尽快手动更新!知名压缩工具七-Zip曝出(chū)高危漏洞:可(kě)实现完全系统绕过(guò)
本站一一月二八日消息,知名压缩工具七-Zip近日被曝出(chū)存在(zài)严重安全漏洞,漏洞编号为(wéi / wèi)CVE-二0二四-一一四七七,CVSS评分七.八分属高危漏洞。
漏洞主要(yào)存在(zài)于(yú)Zstandard解压缩的(de)实现中(zhōng),由于(yú)未正确验证用户提供的(de)数据,可(kě)能(néng)导致整数下(xià)溢,进而(ér)允许攻击者在(zài)当前进程的(de)上(shàng)下(xià)文中(zhōng)执行(xíng)代码。
Zstandard格式在(zài)Linux环境中(zhōng)尤为(wéi / wèi)普遍,常用于(yú)多种文件系统,包括Btrfs、SquashFS和(hé)OpenZFS。
攻击者可(kě)能(néng)通过(guò)诱导用户打开精心准备的(de)恶意存档来(lái)利用此漏洞,这(zhè)些存档可(kě)能(néng)通过(guò)电子(zǐ)邮件附件或共享文件分发。
攻击者可(kě)以(yǐ)利用它在(zài)受影响的(de)系统上(shàng)执行(xíng)任意代码,获得与登录用户相同的(de)访问权限,甚至可(kě)能(néng)实现完全的(de)系统绕过(guò)。
不(bù)过(guò)目前没有(yǒu)已知的(de)恶意软件针对(duì)此漏洞,七-Zip已在(zài)二四.0七版本中(zhōng)解决了此安全问题,建议用户手动下(xià)载并安装最新版本,因为(wéi / wèi)利用该漏洞所需的(de)技术专业知识最少。
该漏洞最初于(yú)二0二四年(nián)六月安全研究人(rén)员向七-Zip报告了该漏洞,并于(yú)一一月二0日公开披露。
版权说明
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。