https://www.anquanke.com/post/id/302159

压缩软件 7-Zip 中发现了一个高严重性漏洞 (CVE-2024-11477)，攻击者有可能在易受攻击的系统上执行恶意代码。

该漏洞由趋势科技安全研究部的 Nicholas Zubrisky 发现，存在于程序的 Zstandard 解压缩功能中。由于对用户提供的数据验证不充分，可能会出现整数下溢，使攻击者能够在受影响的进程中执行任意代码。

该漏洞的 CVSS 得分为 7.8，表明存在重大风险。攻击者可通过诱骗用户打开特制的归档文件来利用这一漏洞。成功利用该漏洞的后果可能包括数据被盗和系统完全崩溃。

安全公告称：“利用该漏洞需要与该库进行交互，但攻击载体可能因实现方式而异。”

强烈建议用户立即升级到 7-Zip 24.07 或更高版本。最新版本解决了该漏洞，并修补了整数下溢漏洞。