近日,一款知名压缩工具7-Zip被披露存在高危安全漏洞,编号为CVE-2024-11477。该漏洞主要存在于Zstandard解压缩的实现中,由于未正确验证用户提供的数据,可能导致整数下溢,并使攻击者能够在当前进程的上下文中执行代码。此漏洞主要影响Linux环境下的文件系统,如Btrfs、SquashFS和OpenZFS等。 攻击者可通过诱导用户打开精心准备...
IT之家 11 月 28 日消息,Zero Day Initiative(ZDI)团队于 11 月 20 日发布博文,披露了解压缩工具 7-Zip 中发现的严重漏洞,攻击者利用该漏洞,可以执行远程代码。IT之家查询公开资料,该漏洞追踪编号为 CVE-2024-11477,存在于 Zstandard 解压缩的实现中,缺乏对用户输入数据的校验,可能引发整数下溢,进而...
IT之家 11 月 28 日消息,Zero Day Initiative(ZDI)团队于 11 月 20 日发布博文,披露了解压缩工具 7-Zip 中发现的严重漏洞,攻击者利用该漏洞,可以执行远程代码。 IT之家查询公开资料,该漏洞追踪编号为 CVE-2024-11477,存在于 Zstandard 解压缩的实现中,缺乏对用户输入数据的校验,可能引发整数下溢,进而被恶意利...
IT之家11 月 28 日消息,Zero Day Initiative(ZDI)团队于 11 月 20 日发布博文,披露了解压缩工具 7-Zip 中发现的严重漏洞,攻击者利用该漏洞,可以执行远程代码。 IT之家查询公开资料,该漏洞追踪编号为 CVE-2024-11477,存在于 Zstandard 解压缩的实现中,缺乏对用户输入数据的校验,可能引发整数下溢,进而被恶意利用。
好消息是,7-Zip 24.07版本已经修复了这个问题!大家赶紧去官网下载最新版本吧!更新软件就像给你的电脑加了一层坚固的盔甲,让那些坏家伙无处可逃!说实话,我以前也觉得更新软件很麻烦,但这次事件让我深刻意识到,软件安全更新的重要性!这就像定期给你的爱车做保养一样,能避免很多不必要的麻烦。 这性能提升...
近日,网络安全研究人员发现7-Zip文件压缩工具存在一个严重的安全漏洞(CVE-2024-11477),该漏洞的CVSS评分为7.8。 该漏洞存在于Zstandard解压缩实现中,7-Zip 在处理特定文件格式(如.7z、.xz、.lzma 等)的文...
近日,Zero Day Initiative(ZDI)团队公布了针对广泛使用的压缩工具7-Zip的一项重大安全漏洞。在这次发现的漏洞(编号CVE-2024-11477)中,7-Zip在执行Zstandard解压缩的过程中,存在对用户输入数据缺乏充分校验的情况,这为攻击者利用该漏洞提供了可乘之机。 根据ZDI团队的报告,该漏洞的存在可能导致整数下溢,允许攻击者通过...
然而,近日一位名为 Paul 的开发者却发表了一篇呼吁抵制 7-Zip 的文章,其标题给出的理由是:“有限”的开源 & 安全问题。 Paul 给 7-Zip 定下“三宗罪” 然而,在整体看过这篇文章后便可发现,Paul 给 7-Zip 定下的是“三宗罪”。 第一宗罪:“有限”的开源 ...
基于安全考虑研究人员在 6 月 12 日通报漏洞,7-Zip 在 6 月 19 日已经发布新版本进行修复,直到现在才披露漏洞,所以各位只需要升级到 7-Zip v24.07 及后续版本即可。 其中修复版本已经于 2024 年 6 月 19 日发布,对应版本号为 7-Zip v24.07 版,之后版本包括截止至本文发布时的最新版即 7-Zip v24.08 ...
近期,备受用户信赖的压缩软件7-Zip遭遇了一场安全风波,一个编号为CVE-2024-11477的重大安全漏洞被公开披露。这一漏洞的核心问题在于Zstandard解压缩功能的实现上存在缺陷,未能对用户输入的数据进行有效验证,从而可能触发整数下溢,使攻击者有机会在当前进程的权限下执行恶意代码。