蓝点网
·
7-Zip悄悄修复某个安全漏洞没有发布公告 其他基于7z的压缩软件也需更新
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
开源压缩管理器7-Zip修复了两个缓冲区溢出漏洞,但未发布安全公告,引起担忧。漏洞已修复,但开发者拒绝提及。漏洞对本地用户影响较小,但在服务器上使用可能导致数据泄露。开发者未发布安全公告引发争议,称公告可能增加攻击风险。安全研究人员和开源社区对此担忧。
🎯
关键要点
- 开源压缩管理器7-Zip修复了两个缓冲区溢出漏洞,但未发布安全公告。
- 漏洞CVE-2023-52168和CVE-2023-52169分别涉及缓冲区溢出和过度读取问题。
- 漏洞对本地用户影响较小,但在服务器上使用可能导致数据泄露。
- 开发者Igor Pavlov未在更新日志中提及漏洞修复,引发开源社区担忧。
- 开发者认为发布安全公告可能增加攻击风险,但这一说法受到质疑。
- 安全研究人员和开源社区认为不发布公告可能导致修复版本更新率降低,增加攻击面。
➡️
