盡快手動(dòng)更新！知名壓縮工具7-Zip曝出高危漏洞：可實(shí)現(xiàn)完全系統(tǒng)繞過(guò)

快科技11月28日消息，知名壓縮工具7-Zip近日被曝出存在嚴(yán)重安全漏洞，漏洞編號(hào)為CVE-2024-11477，CVSS評(píng)分7.8分屬高危漏洞。

漏洞主要存在于Zstandard解壓縮的實(shí)現(xiàn)中，由于未正確驗(yàn)證用戶提供的數(shù)據(jù)，可能導(dǎo)致整數(shù)下溢，進(jìn)而允許攻擊者在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。

Zstandard格式在Linux環(huán)境中尤為普遍，常用于多種文件系統(tǒng)，包括Btrfs、SquashFS和OpenZFS。

攻擊者可能通過(guò)誘導(dǎo)用戶打開(kāi)精心準(zhǔn)備的惡意存檔來(lái)利用此漏洞，這些存檔可能通過(guò)電子郵件附件或共享文件分發(fā)。

攻擊者可以利用它在受影響的系統(tǒng)上執(zhí)行任意代碼，獲得與登錄用戶相同的訪問(wèn)權(quán)限，甚至可能實(shí)現(xiàn)完全的系統(tǒng)繞過(guò)。

不過(guò)目前沒(méi)有已知的惡意軟件針對(duì)此漏洞，7-Zip已在24.07版本中解決了此安全問(wèn)題，建議用戶手動(dòng)下載并安裝最新版本，因?yàn)槔迷撀┒此璧募夹g(shù)專業(yè)知識(shí)最少。

該漏洞最初于2024年6月安全研究人員向7-Zip報(bào)告了該漏洞，并于11月20日公開(kāi)披露。