近日,Zero Day Initiative(ZDI)团队发布了一篇博文,披露了压缩工具7-Zip中发现的重大漏洞。据公开资料显示,这个漏洞的编号为CVE-2024-11477,在Zstandard解压缩的实现过程中存在,并且在处理用户输入数据时缺少校验功能,可能导致整数下溢并被恶意利用。
攻击者需要诱导用户打开包含恶意内容的压缩文件才能利用该漏洞,目前尚未有证据表明这个漏洞已被黑客广泛使用。然而,CVSS评分为7.8,属于高危级别。
一旦发现了这个漏洞,在今年年初时,ZDI团队报告给了7-Zip团队,并且已经在7-Zip 24.07及后续版本中进行了修复工作。
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
