知名压缩管理器7-Zip出现高危安全漏洞可被执行任意代码 请立即升级

知名压缩管理器7-Zip出现高危安全漏洞，攻击者借助该漏洞可以实现执行任意代码，不过各位也不必过于惊慌，因为漏洞是在2024年6月12日通报的，目前7-Zip的最新版本已经修复漏洞，所以现在安全研究人员才披露这枚漏洞。

其中修复版本已经于2024年6月19日发布，对应版本号为7-Zipv24.07版，之后版本包括截止至本文发布时的最新版即7-Zipv24.08版均不受此漏洞影响。

也就是说用户至少需要更新到v24.07版才能确保漏洞无法被利用，如果你使用的7-Zip仍然是旧版本请立即转到官网下载最新版进行覆盖安装升级。

特别注意：大多数常见的压缩管理器都集成了7-Zip的开源模块，这些压缩管理器也必须更新。

下载地址：https://www.7-zip.org/

漏洞描述：

该漏洞允许远程攻击者在受影响的7-Zip版本上执行任意代码，要利用此漏洞需要与库进行交互，但攻击媒介可能因实施情况存在差异。

漏洞位于7-ZipZstandard解压缩的实现中，问题原因在于缺乏对用户提供的数据进行适当验证导致的，这可能会导致在写入内存之前出现整数下溢，攻击者可以利用此漏洞在当前进程中的上下文执行代码。

常见的利用场景：

攻击者可以制作特定的压缩文件并通过电子邮件或下载网站诱导用户下载并执行解压操作，当成功利用此漏洞后攻击者可能窃取系统数据甚至接管整个系统。注：该漏洞无法远程执行任意代码，其媒介至少要用户主动下载特制文件并执行解压操作。

漏洞信息：

漏洞编号：CVE-2024-11477

CVSS评分：7.8/10分

披露时间：2024年6月12日通报给7-Zip开发者、6月19日发布v24.07进行修复、10月20日起协调公布咨询报告

漏洞发现者：趋势科技安全研究部门的NicholasZubrisky