请尽快升级修复：7-Zip 解压缩工具被曝安全漏洞，可执行远程代码

IT之家 11 月 28 日消息，Zero Day Initiative（ZDI）团队于 11 月 20 日发布博文，披露了解压缩工具 7-Zip 中发现的严重漏洞，攻击者利用该漏洞，可以执行远程代码。

IT之家查询公开资料，该漏洞追踪编号为 CVE-2024-11477，存在于 Zstandard 解压缩的实现中，缺乏对用户输入数据的校验，可能引发整数下溢，进而被恶意利用。

攻击者需要诱导用户打开恶意压缩文件，才能利用此漏洞，目前没有证据表明该漏洞被黑客广泛利用，不过 CVSS 评分高达 7.8，属于高危级别。

ZDI 团队在今年年初发现该漏洞后，于 2024 年 6 月报告给 7-Zip 团队，目前已在 7-Zip 24.07 及后续版本中修复。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。