近日，主流文件壓縮工具7-Zip被曝存在一個(gè)嚴(yán)重的安全漏洞，允許遠(yuǎn)程攻擊者通過(guò)精心制作的存檔執(zhí)行惡意代碼。該漏洞編號(hào)為CVE-2024-11477，CVSS評(píng)分7.8分，表明受影響版本的用戶面臨重大安全風(fēng)險(xiǎn)。

漏洞存在于 Zstandard 解壓縮的實(shí)現(xiàn)中。此問(wèn)題是由于未正確驗(yàn)證用戶提供的數(shù)據(jù)而導(dǎo)致的，這可能導(dǎo)致在寫入內(nèi)存之前出現(xiàn)整數(shù)下溢。攻擊者可以利用此漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼，但要利用此漏洞，需要與此庫(kù)交互，但攻擊媒介可能因?qū)嵤┒悺?/p>

根據(jù)趨勢(shì)科技安全研究部的Nicholas Zubrisky的說(shuō)法，攻擊者可以通過(guò)說(shuō)服用戶打開(kāi)精心準(zhǔn)備的存檔來(lái)利用此漏洞，這些存檔可以通過(guò)電子郵件附件或共享文件分發(fā)。

Zstandard格式在Linux環(huán)境中尤為普遍，通常用于各種文件系統(tǒng)，包括Btrfs、SquashFS和OpenZFS。

漏洞影響

• 在受影響的系統(tǒng)上執(zhí)行任意代碼
• 獲得與登錄用戶相同的訪問(wèn)權(quán)限
• 可能實(shí)現(xiàn)完全的系統(tǒng)繞過(guò)

緩解措施和修復(fù)

7-Zip已在24.07版本中解決了此安全問(wèn)題。由于該軟件缺乏集成的更新機(jī)制，用戶必須手動(dòng)下載并安裝最新版本以保護(hù)其系統(tǒng)，官網(wǎng)地址：https://www.7-zip.org/

在企業(yè)環(huán)境中使用7-Zip的IT管理員和軟件開(kāi)發(fā)者應(yīng)立即將其安裝更新為已修補(bǔ)的版本。需要注意的是，由于7-Zip釣魚(yú)郵件和帶病毒的假冒產(chǎn)品非常多，在搜索引擎中搜索下載時(shí)請(qǐng)注意甄別。

該漏洞最初于2024年6月，安全研究人員向7-Zip報(bào)告了該漏洞，并于11月20日公開(kāi)披露。盡管目前沒(méi)有已知的惡意軟件針對(duì)此漏洞。，但安全專家強(qiáng)烈建議用戶及時(shí)修補(bǔ)，因?yàn)槔迷撀┒此璧募夹g(shù)專業(yè)知識(shí)最少，

這一事件突顯了應(yīng)用程序安全中輸入驗(yàn)證的關(guān)鍵重要性，特別是在處理可能不受信任的數(shù)據(jù)時(shí)，使用7-Zip或包含其功能的產(chǎn)品組織和個(gè)體應(yīng)優(yōu)先更新到最新版本以維護(hù)系統(tǒng)安全。

參考來(lái)源：https://cybersecuritynews.com/7-zip-vulnerability-arbitrary-code/