7-Zip 爆高危漏洞,可远程执行代码,尽快更新至 24.08 版本

原始链接在: https://www.appinn.com/7-zip-cve-2024-11477/

著名的开源压缩/解压缩工具 7-ZIP 爆出一个高危漏洞 CVE-2024-11477,存在于 7-Zip 的 Zstandard 解压缩功能中,它允许攻击者在用户打开恶意压缩包时执行远程代码。该漏洞最初出现在 24.05 版本(2024年5月发布),24.07 版本之前的所有 7-Zip 版本都收到影响。


请尽快更新,目前官网最新版本为 24.08。

7-ZIP 官网地址

请认准唯一官网。

CVE-2024-11477 细节

这是一个存在于 7-Zip 的 Zstandard 解压缩功能中的整数下溢漏洞,允许攻击者在用户打开恶意压缩包时执行远程代码

受影响版本

  • 影响 24.07 版本之前的所有 7-Zip 版本
  • 该漏洞最初出现在 24.05 版本(2024年5月发布)

漏洞严重性

  • CVSS 评分为 7.8,属于高危漏洞
  • 需要用户交互才能触发漏洞,比如打开恶意压缩文件
  • 漏洞可能会被用于恶意邮件附件攻击

解决方案

用户应立即更新到 7-Zip 24.07 或更高版本来修复此漏洞

1 Like

“爆” 或许是一个错别字,应该用 “曝” 更好,毕竟 “曝” 字有晒、暴漏之意。

https://www.zdic.net/hans/曝

2 Likes

24.05之前的版本没有影响吧,好多软件附带了7z库,不过都是很老的版本

win11用商店的nanazip,省事,7z的win11 UI改,更新还是挺及时的。

至于其他老旧软件自带的,那就佛系了,反正也不是默认用,不触发漏洞不要紧

吐槽一下7zip的官网的发行版,绿色版只有7z格式,属于钥匙锁在箱子里的操作

1 Like

之前的版本也有很多高危漏洞

话说那些用7zip sdk再次开发的会不会有同样问题?

可以用 Winrar 解压 7-zip.7z 绿色版

:melting_face:用7z的用户大概都不会装一个winrar吧

突然想到个问题,7z原版现在支持zstd的解压,但好像还是不支持压缩为zstd算法的。原7z-zst分支也停在很久前了。

官网哪儿有绿色版下载啊?
我在 下载页面 里面只看到 7z 格式的命令行版、源码和SDK。

官网没有绿色版

爆 的用法是來自 爆出,也就是 爆出高危漏洞

然後這個 爆 本身有 爆料 之意

原来如此,之前一直没有注意过。

不过按我的理解,“爆料” 似乎也是用 “曝” 更合适,毕竟 “爆” 虽然可以指出人意料地出现或发生(比如,爆发),但却没有揭露的意思。

当然,语言这东西,很多都是习惯用法,而且 “爆料” 似乎更偏口语,不是正式用语,也没必要深究。

我也觉得是曝 :rofl:

確實,爆料 這個詞比較有一種爆炸般的,有大事發生的煽動性

爆出或者曝光都是可行的,兩者都算是正確的平行線
不過爆的用法歷史悠久,至少我出生前就這麼用了

順帶一提
曝光的古寫法是暴光,不過兩岸讀音有差異,我們都唸 puˋ 音

看了下电脑里的版本,22.01……
上官网瞅瞅,突然发现24年更新好频繁。
依稀记得早前7z版本号都是alpha、beta,正式版很少的,现在全是正式版
现在版本发布观念已经彻底变了啊

官网首页左下角发现多了个 7-Max,也是 7z 作者写的,看了看介绍,好像是可以用来加速程序运行,有没有人测试测试

我突然想起来,上次在哪个网站看到有人回复说,为什么他29块钱买的正版7zip不好用。。。