Qingwa
(青小蛙)
1
原始链接在: https://www.appinn.com/7-zip-cve-2024-11477/
著名的开源压缩/解压缩工具 7-ZIP 爆出一个高危漏洞 CVE-2024-11477,存在于 7-Zip 的 Zstandard 解压缩功能中,它允许攻击者在用户打开恶意压缩包时执行远程代码。该漏洞最初出现在 24.05 版本(2024年5月发布),24.07 版本之前的所有 7-Zip 版本都收到影响。
请尽快更新,目前官网最新版本为 24.08。
7-ZIP 官网地址
请认准唯一官网。
CVE-2024-11477 细节
这是一个存在于 7-Zip 的 Zstandard 解压缩功能中的整数下溢漏洞,允许攻击者在用户打开恶意压缩包时执行远程代码
受影响版本
- 影响 24.07 版本之前的所有 7-Zip 版本
- 该漏洞最初出现在 24.05 版本(2024年5月发布)
漏洞严重性
- CVSS 评分为 7.8,属于高危漏洞
- 需要用户交互才能触发漏洞,比如打开恶意压缩文件
- 漏洞可能会被用于恶意邮件附件攻击
解决方案
用户应立即更新到 7-Zip 24.07 或更高版本来修复此漏洞
1 Like
“爆” 或许是一个错别字,应该用 “曝” 更好,毕竟 “曝” 字有晒、暴漏之意。
https://www.zdic.net/hans/曝
2 Likes
zhaosj
(紅塵一夢)
3
24.05之前的版本没有影响吧,好多软件附带了7z库,不过都是很老的版本
GingerCat
(🍁暮光红叶🍁)
4
win11用商店的nanazip,省事,7z的win11 UI改,更新还是挺及时的。
至于其他老旧软件自带的,那就佛系了,反正也不是默认用,不触发漏洞不要紧
吐槽一下7zip的官网的发行版,绿色版只有7z格式,属于钥匙锁在箱子里的操作
1 Like
shadows
(shadows)
6
话说那些用7zip sdk再次开发的会不会有同样问题?
tiger
(小虎王)
7
可以用 Winrar 解压 7-zip.7z 绿色版
lenno
(Lenno)
9
突然想到个问题,7z原版现在支持zstd的解压,但好像还是不支持压缩为zstd算法的。原7z-zst分支也停在很久前了。
hzhbest
(天平那方重力异常)
10
官网哪儿有绿色版下载啊?
我在 下载页面 里面只看到 7z 格式的命令行版、源码和SDK。
原来如此,之前一直没有注意过。
不过按我的理解,“爆料” 似乎也是用 “曝” 更合适,毕竟 “爆” 虽然可以指出人意料地出现或发生(比如,爆发),但却没有揭露的意思。
当然,语言这东西,很多都是习惯用法,而且 “爆料” 似乎更偏口语,不是正式用语,也没必要深究。
Duah
15
確實,爆料 這個詞比較有一種爆炸般的,有大事發生的煽動性
爆出或者曝光都是可行的,兩者都算是正確的平行線
不過爆的用法歷史悠久,至少我出生前就這麼用了
順帶一提
曝光的古寫法是暴光,不過兩岸讀音有差異,我們都唸 puˋ 音
看了下电脑里的版本,22.01……
上官网瞅瞅,突然发现24年更新好频繁。
依稀记得早前7z版本号都是alpha、beta,正式版很少的,现在全是正式版
现在版本发布观念已经彻底变了啊
xmmdg
(笑眯眯的狗)
17
官网首页左下角发现多了个 7-Max,也是 7z 作者写的,看了看介绍,好像是可以用来加速程序运行,有没有人测试测试
yuanyues
(JoeTin)
18
我突然想起来,上次在哪个网站看到有人回复说,为什么他29块钱买的正版7zip不好用。。。