知名壓縮管理器7-Zip出現高危安全漏洞可被執行任意代碼 請立即升級
其中修復版本已經於 2024 年 6 月 19 日發佈,對應版本號為 7-Zip v24.07 版,之後版本包括截止至本文發佈時的最新版即 7-Zip v24.08 版均不受此漏洞影響。也就是説用户至少需要更新到 v24.07 版才能確保漏洞無法被利用,如果你使用的 7-Zip 仍然是舊版本請立即轉到官網下載最新版進行覆蓋安裝升級。特別注意:大多數常見的壓縮管理器都集成了 7-Zip 的開源模塊,這些壓縮管理器也必須更新。下載地址:https://www.7-zip.org/漏洞描述:該漏洞允許遠程攻擊者在受影響的 7-Zip 版本上執行任意代碼,要利用此漏洞需要與庫進行交互,但攻擊媒介可能因實施情況存在差異。漏洞位於 7-Zip Zstandard 解壓縮的實現中,問題原因在於缺乏對用户提供的數據進行適當驗證導致的,這可能會導致在寫入內存之前出現整數下溢,攻擊者可以利用此漏洞在當前進程中的上下文執行代碼。常見的利用場景:攻擊者可以製作特定的壓縮文件並通過電子郵件或下載網站誘導用户下載並執行解壓操作,當成功利用此漏洞後攻擊者可能竊取系統數據甚至接管整個系統。註:該漏洞無法遠程執行任意代碼,其媒介至少要用户主動下載特製文件並執行解壓操作。漏洞信息:漏洞編號:CVE-2024-11477CVSS 評分:7.8/10 分披露時間:2024 年 6 月 12 日通報給 7-Zip 開發者、6 月 19 日發佈 v24.07 進行修復、10 月 20 日起協調公佈諮詢報告漏洞發現者:趨勢科技安全研究部門的 Nicholas Zubrisky ...
PC: https://www.cnbeta.com.tw/articles/soft/1458720.htm
Mobile: https://m.cnbeta.com.tw/view/1458720.htm
其中修復版本已經於 2024 年 6 月 19 日發佈,對應版本號為 7-Zip v24.07 版,之後版本包括截止至本文發佈時的最新版即 7-Zip v24.08 版均不受此漏洞影響。也就是説用户至少需要更新到 v24.07 版才能確保漏洞無法被利用,如果你使用的 7-Zip 仍然是舊版本請立即轉到官網下載最新版進行覆蓋安裝升級。特別注意:大多數常見的壓縮管理器都集成了 7-Zip 的開源模塊,這些壓縮管理器也必須更新。下載地址:https://www.7-zip.org/漏洞描述:該漏洞允許遠程攻擊者在受影響的 7-Zip 版本上執行任意代碼,要利用此漏洞需要與庫進行交互,但攻擊媒介可能因實施情況存在差異。漏洞位於 7-Zip Zstandard 解壓縮的實現中,問題原因在於缺乏對用户提供的數據進行適當驗證導致的,這可能會導致在寫入內存之前出現整數下溢,攻擊者可以利用此漏洞在當前進程中的上下文執行代碼。常見的利用場景:攻擊者可以製作特定的壓縮文件並通過電子郵件或下載網站誘導用户下載並執行解壓操作,當成功利用此漏洞後攻擊者可能竊取系統數據甚至接管整個系統。註:該漏洞無法遠程執行任意代碼,其媒介至少要用户主動下載特製文件並執行解壓操作。漏洞信息:漏洞編號:CVE-2024-11477CVSS 評分:7.8/10 分披露時間:2024 年 6 月 12 日通報給 7-Zip 開發者、6 月 19 日發佈 v24.07 進行修復、10 月 20 日起協調公佈諮詢報告漏洞發現者:趨勢科技安全研究部門的 Nicholas Zubrisky ...
PC: https://www.cnbeta.com.tw/articles/soft/1458720.htm
Mobile: https://m.cnbeta.com.tw/view/1458720.htm