一、漏洞详情
7-Zip 是一款免费的开源文件压缩和解压工具,支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式。
近日,监测到7-Zip中修复了一个代码执行漏洞(CVE-2024-11477)。7-Zip Zstandard解压缩实现中存在漏洞,由于对用户提供的数据缺乏适当验证,可能导致在写入内存前发生整数下溢,攻击者可能通过构造包含特制数据或压缩内容的恶意文件并诱使目标用户解压,当目标用户使用受影响的7-Zip解压缩该文件时可能触发漏洞,从而可能导致在受影响的7-Zip安装上执行任意代码。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻
二、影响范围
7-Zip < 24.07
三、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
7-Zip >= 24.07
