[2]CVE2024114777Zip 漏洞允许远程执行代码立即更新-小百科

小百科,大世界
在流行的文件归档器 7-Zip 中发现了一个高严重性漏洞 (CVE-2024-11477)，攻击者有可能在易受攻击的系统上执行恶意代码。该漏洞由趋势科技安全研究部的 Nicholas Zubrisky 发现，存在于程序的 Zstandard 解压缩功能中。由于对用户提供的数据验证不充分，可能会出现整数下溢，使攻击者能够在受影响的进程中执行任意代码。该漏洞的 CVSS 得分为 7.8，表明存在重大风险。攻击者可通过诱骗用户打开特制的归档文件来利用这一漏洞。成功利用该漏洞的后果可能包括数据被盗和系统完全崩溃。安全公告称：“利用该漏洞需要与该库进行交互，但攻击载体可能因实现方式而异。” 强烈建议用户立即升级到 7-Zip 24.07 或更高版本。最新版本解决了该漏洞，并修补了整数下溢漏洞。过时的软件往往包含可被恶意行为者利用的漏洞。定期更新软件是保持强大安全态势和防范网络威胁的关键步骤。本文翻译自securityonline 原文链接。如若转载请注明出处。商务合作，文章发布请联系 anquanke@360.cn 本文由安全客原创发布转载，请参考转载声明，注明出处： /post/id/302159 安全客 - 有思想的安全新媒体 [来源: 安全客]
首页 / 计算机 / IT资讯

在流行的文件归档器 7-Zip 中发现了一个高严重性漏洞 (CVE-2024-11477)，攻击者有可能在易受攻击的系统上执行恶意代码。

该漏洞由趋势科技安全研究部的 Nicholas Zubrisky 发现，存在于程序的 Zstandard 解压缩功能中。由于对用户提供的数据验证不充分，可能会出现整数下溢，使攻击者能够在受影响的进程中执行任意代码。

该漏洞的 CVSS 得分为 7.8，表明存在重大风险。攻击者可通过诱骗用户打开特制的归档文件来利用这一漏洞。成功利用该漏洞的后果可能包括数据被盗和系统完全崩溃。

安全公告称：“利用该漏洞需要与该库进行交互，但攻击载体可能因实现方式而异。”

强烈建议用户立即升级到 7-Zip 24.07 或更高版本。最新版本解决了该漏洞，并修补了整数下溢漏洞。

过时的软件往往包含可被恶意行为者利用的漏洞。定期更新软件是保持强大安全态势和防范网络威胁的关键步骤。

本文翻译自securityonline 原文链接。如若转载请注明出处。

商务合作，文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载，请参考转载声明，注明出处： /post/id/302159

安全客 - 有思想的安全新媒体

[来源: 安全客]

[2]CVE2024114777Zip 漏洞允许远程执行代码立即更新 繁體