慎用,文件压缩工具7-Zip存在严重漏洞
2024-11-26 10:25:54 Author: www.freebuf.com(查看原文) 阅读量:23 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近日,主流文件压缩工具7-Zip被曝存在一个严重的安全漏洞,允许远程攻击者通过精心制作的存档执行恶意代码。该漏洞编号为CVE-2024-11477,CVSS评分7.8分,表明受影响版本的用户面临重大安全风险。

漏洞存在于 Zstandard 解压缩的实现中。此问题是由于未正确验证用户提供的数据而导致的,这可能导致在写入内存之前出现整数下溢。攻击者可以利用此漏洞在当前进程的上下文中执行代码,但要利用此漏洞,需要与此库交互,但攻击媒介可能因实施而异。

根据趋势科技安全研究部的Nicholas Zubrisky的说法,攻击者可以通过说服用户打开精心准备的存档来利用此漏洞,这些存档可以通过电子邮件附件或共享文件分发。

Zstandard格式在Linux环境中尤为普遍,通常用于各种文件系统,包括Btrfs、SquashFS和OpenZFS。

漏洞影响

  • 在受影响的系统上执行任意代码
  • 获得与登录用户相同的访问权限
  • 可能实现完全的系统绕过

缓解措施和修复

7-Zip已在24.07版本中解决了此安全问题。由于该软件缺乏集成的更新机制,用户必须手动下载并安装最新版本以保护其系统,官网地址:https://www.7-zip.org/

在企业环境中使用7-Zip的IT管理员和软件开发者应立即将其安装更新为已修补的版本。需要注意的是,由于7-Zip钓鱼邮件和带病毒的假冒产品非常多,在搜索引擎中搜索下载时请注意甄别。

该漏洞最初于

2024年6月,安全研究人员向7-Zip报告了该漏洞,并于11月20日公开披露。尽管目前没有已知的恶意软件针对此漏洞。,但安全专家强烈建议用户及时修补,因为利用该漏洞所需的技术专业知识最少,

这一事件突显了应用程序安全中输入验证的关键重要性,特别是在处理可能不受信任的数据时,使用7-Zip或包含其功能的产品组织和个体应优先更新到最新版本以维护系统安全。

参考来源:https://cybersecuritynews.com/7-zip-vulnerability-arbitrary-code/

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/416144.html
如有侵权请联系:admin#unsafe.sh