IT之家 11 月 28 日消息，Zero Day Initiative（ZDI）團(tuán)隊(duì)于 11 月 20 日發(fā)布博文，披露了解壓縮工具 7-Zip 中發(fā)現(xiàn)的嚴(yán)重漏洞，攻擊者利用該漏洞，可以執(zhí)行遠(yuǎn)程代碼。

IT之家查詢公開資料，該漏洞追蹤編號為 CVE-2024-11477，存在于 Zstandard 解壓縮的實(shí)現(xiàn)中，缺乏對用戶輸入數(shù)據(jù)的校驗(yàn)，可能引發(fā)整數(shù)下溢，進(jìn)而被惡意利用。

攻擊者需要誘導(dǎo)用戶打開惡意壓縮文件，才能利用此漏洞，目前沒有證據(jù)表明該漏洞被黑客廣泛利用，不過 CVSS 評分高達(dá) 7.8，屬于高危級別。

ZDI 團(tuán)隊(duì)在今年年初發(fā)現(xiàn)該漏洞后，于 2024 年 6 月報告給 7-Zip 團(tuán)隊(duì)，目前已在 7-Zip 24.07 及后續(xù)版本中修復(fù)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。