盡快手動更新！知名壓縮工具7-Zip曝出高風險漏洞：可實現完全系統繞過

知名壓縮工具7-Zip近日被曝出有嚴重安全漏洞，漏洞編號為CVE-2024-11477，CVSS評分7.8分屬高危險漏洞。

漏洞主要存在於Zstandard解壓縮的實作中，由於未正確驗證使用者提供的數據，可能導致整數下溢，進而允許攻擊者在目前進程的上下文中執行程式碼。

Zstandard格式在Linux環境中特別普遍，常用於多種檔案系統，包括Btrfs、SquashFS和OpenZFS。

攻擊者可能透過誘導用戶打開精心準備的惡意存檔來利用此漏洞，這些存檔可能透過電子郵件附件或共用檔案分發。

攻擊者可以利用它在受影響的系統上執行任意程式碼，獲得與登入使用者相同的存取權限，甚至可能實現完全的系統繞過。

不過目前沒有已知的惡意軟體針對此漏洞，7-Zip已在24.07版本中解決了此安全問題，建議用戶手動下載並安裝最新版本，因為利用該漏洞所需的技術專業知識最少。

該漏洞最初於2024年6月安全研究人員向7-Zip報告了該漏洞，並於11月20日公開揭露。

來源