慎用，知名压缩工具7-Zip存在严重漏洞

发布时间：2025-12-07 19:48:24 作者：玩站小弟

近日，主流文件压缩工具7-Zip被曝存在一个严重的安全漏洞，允许远程攻击者通过精心制作的存档执行恶意代码。该漏洞编号为CVE-2024-11477，CVSS评分7.8分，表明受影响版本的用户面临重大安。

近日，慎用主流文件压缩工具7-Zip被曝存在一个严重的知名安全漏洞，允许远程攻击者通过精心制作的压缩严重存档执行恶意代码。该漏洞编号为CVE-2024-11477，工具CVSS评分7.8分，漏洞表明受影响版本的慎用用户面临重大安全风险。

漏洞存在于 Zstandard 解压缩的知名实现中。源码库此问题是压缩严重由于未正确验证用户提供的数据而导致的，这可能导致在写入内存之前出现整数下溢。工具攻击者可以利用此漏洞在当前进程的漏洞上下文中执行代码，但要利用此漏洞，慎用需要与此库交互，知名但攻击媒介可能因实施而异。模板下载压缩严重

根据趋势科技安全研究部的工具Nicholas Zubrisky的说法，攻击者可以通过说服用户打开精心准备的漏洞存档来利用此漏洞，这些存档可以通过电子邮件附件或共享文件分发。

Zstandard格式在Linux环境中尤为普遍，通常用于各种文件系统，包括Btrfs、SquashFS和OpenZFS 。云计算

漏洞影响在受影响的系统上执行任意代码获得与登录用户相同的访问权限可能实现完全的系统绕过缓解措施和修复

7-Zip已在24.07版本中解决了此安全问题。由于该软件缺乏集成的更新机制，用户必须手动下载并安装最新版本以保护其系统，官网地址：https://www.7-zip.org/

在企业环境中使用7-Zip的IT管理员和软件开发者应立即将其安装更新为已修补的版本。高防服务器需要注意的是，由于7-Zip钓鱼邮件和带病毒的假冒产品非常多，在搜索引擎中搜索下载时请注意甄别。

该漏洞最初于2024年6月，安全研究人员向7-Zip报告了该漏洞，并于11月20日公开披露。尽管目前没有已知的建站模板恶意软件针对此漏洞。，但安全专家强烈建议用户及时修补，因为利用该漏洞所需的技术专业知识最少，

这一事件突显了应用程序安全中输入验证的关键重要性，特别是在处理可能不受信任的数据时，服务器租用使用7-Zip或包含其功能的产品组织和个体应优先更新到最新版本以维护系统安全。

参考来源：https://cybersecuritynews.com/7-zip-vulnerability-arbitrary-code/

Tag：

美国众议院议员和工作人员数据被盗，FBI 介入调查
Bleeping Computer 网站披露，美国联邦调查局FBI）正在调查一起影响美国众议院议员和工作人员的数据泄露事件。据悉，被盗的敏感个人数据信息从来自 DC Health Link 的服务器。
2025-12-07
前五大Web应用程序漏洞及发现方法
Web应用程序，通常以软件即服务SaaS）的形式出现，现在是全球企业的基石。SaaS 解决方案彻底改变了他们的运营和提供服务的方式，并且是几乎所有行业从金融和银行到医疗保健和教育）的基本工具。大多数初
2025-12-07
事前防御与事后应对并重思科助力企业提升安全弹性能力
如今，我们处在一个不确定的环境中，企业需要韧性，才能应对各种突如其来的问题，并在不确定中实现稳步增长。安全亦是如此。各种创新技术的出现，一方面推动着企业的商业模式变革，提升企业的生产力，另一方面，在企
2025-12-07
AI语音克隆产生安全漏洞
据迈克菲公司McAfee）声称，AI技术正促使在线语音诈骗数量激增，只需要短短三秒的音频就能克隆受害者的语音。迈克菲对来自七个国家的7054人进行了调查，结果发现四分之一的成年人之前遇到过某种形式的A
2025-12-07
700万推特用户数据公开传播，或有更大规模用户数据泄露
通过API漏洞窃取的超700万推特用户数据在互联网传播。事件分析2022年7月，有攻击者在黑客论坛以3万美元的价格出售超过540万的推特用户信息。经过调查，这些信息是利用2021年12月的一个推特AP
2025-12-07
2023 Q1 DDoS攻击趋势：由物联网设备转向VPS
2023年第一季度的DDoS分布式拒绝服务）攻击已经从依靠受损的物联网设备转向利用被破坏的虚拟专用服务器VPS）。据互联网安全公司Cloudflare称，新一代的僵尸网络逐渐放弃建立由多个单独的物联网
2025-12-07