漏洞预警 | 7-Zip整数下溢漏洞

浅安 浅安安全 2024-12-04 00:00

0x00 漏洞编号
– CVE-2024-11477

0x01 危险等级
– 高危

0x02 漏洞概述

7-Zip是一款免费开源文件归档应用程序，具有高压缩比，可用于压缩和解压文件，支持多种存档格式。

0x03 漏洞详情

CVE-2024-11477

漏洞类型：
整数下溢

影响：
执行任意代码

简述：
7-Zip Zstandard解压缩实现中存在漏洞，由于对用户提供的数据缺乏适当验证，可能导致在写入内存前发生整数下溢，攻击者可能通过构造包含特制数据或压缩内容的恶意文件并诱使目标用户解压，当目标用户使用受影响的7-Zip解压缩该文件时可能触发漏洞，从而可能导致在受影响的7-Zip安装上执行任意代码。

0x04 影响版本
– 7-Zip < 24.07

0x05 POC状态
– 未公开

0x06修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.7-zip.org/