近日,网络安全研究人员发现7-Zip文件压缩工具存在一个严重的安全漏洞(CVE-2024-11477),该漏洞的CVSS评分为7.8。
该漏洞存在于Zstandard解压缩实现中,7-Zip 在处理特定文件格式(如.7z、.xz、.lzma 等)的文件头时存在堆缓冲区溢出问题,可被利用实现任意代码执行,可能导致系统受损或敏感信息泄露。攻击者可能通过诱导用户打开通过电子邮件附件或共享文件分发的特制压缩包来利用此漏洞,植入执行任意代码实现远程攻击窃取敏感信息甚至控制系统。
值得注意的是,Zstandard格式在Linux系统中被广泛应用,涉及Btrfs、SquashFS和OpenZFS等文件系统,这使得此次漏洞影响范围进一步扩大,众多Linux用户也深陷风险之中。
目前,7-Zip官方已经在24.07版本中修复了此问题。但由于7-Zip没有自动更新机制,用户需尽快手动下载并安装最新版本,才能有效防范风险。
京公网安备 11010802033237号
