💡
原文中文,约800字,阅读约需2分钟。
📝
内容提要
开源压缩工具7-Zip存在远程代码执行漏洞,所有旧版本均受影响。用户需升级至v25.00版,以防止攻击者利用特制ZIP文件触发目录遍历漏洞。请尽快更新以确保安全。
🎯
关键要点
- 开源压缩工具7-Zip存在远程代码执行漏洞,所有旧版本均受影响。
- 用户需升级至v25.00版以确保安全,防止攻击者利用特制ZIP文件触发漏洞。
- 漏洞与WinRAR之前修复的遍历漏洞相似,核心问题在于对ZIP文件中符号链接的处理。
- 攻击者可以构建恶意ZIP压缩包,诱导用户打开,从而触发目录遍历漏洞。
- 黑客可以利用该漏洞将文件写入敏感系统路径,植入恶意代码,实现远程执行。
- 漏洞首次披露时间为7月2日,7-Zip在7月份发布了v25.00版以修复这些漏洞。
- 由于7-Zip没有自动升级功能,研究人员选择在90天后公布漏洞细节,给用户留出升级时间。
- 使用旧版7-Zip的用户需立即更新,以防止安全问题。
➡️
