近期，7-Zip压缩管理器被发现存在高危安全漏洞（CVE-2024-11477），攻击者可利用该漏洞执行任意代码。该漏洞已于2024年6月12日通报，7-Zip官方已在6月19日发布v24.07版本修复漏洞。目前，v24.07及之后版本均不受此漏洞影响，用户需及时更新至最新版本，确保安全。此外，许多压缩管理器集成了7-Zip开源模块，也需要同步更新。攻击者可能通过诱导用户下载并解压特制压缩文件来利用此漏洞，从而窃取数据或控制系统。因此，及时更新7-Zip至最新版本，并谨慎下载和解压文件，是保障系统安全的关键。

⚠️ **7-Zip存在高危安全漏洞CVE-2024-11477，允许攻击者执行任意代码。** 漏洞存在于7-Zip Zstandard解压缩的实现中，由于缺乏对用户提供的数据进行适当验证，导致整数下溢，攻击者可利用此漏洞执行代码。

📅 **7-Zip官方已发布修复版本v24.07及后续版本，用户需及时更新。** 2024年6月19日发布的v24.07版本已修复该漏洞，之后版本也均不受影响。建议用户立即前往官网下载最新版本进行安装升级，确保系统安全。

🖥️ **部分压缩管理器也需更新，因为它们集成了7-Zip开源模块。** 由于许多压缩管理器使用了7-Zip的开源模块，因此这些软件也可能受到此漏洞的影响，需要用户进行更新以确保安全。

🤔 **攻击者可通过诱导用户下载和解压特制压缩文件来利用该漏洞。** 攻击者制作特定压缩文件，诱导用户下载并解压，从而实现恶意代码执行，窃取数据或控制系统。

🛡️ **及时更新7-Zip至最新版本，并谨慎下载和解压文件，是保障系统安全的关键。** 了解漏洞风险，及时更新软件版本，谨慎操作，是维护系统安全的重要举措。

最近安全业界爆出知名压缩管理器 7-Zip 出现高危安全漏洞，攻击者借助该漏洞可以实现执行任意代码，不过各位也不必过于惊慌，因为漏洞是在 2024 年 6 月 12 日通报的，目前 7-Zip 的最新版本已经修复漏洞，所以现在安全研究人员才披露这枚漏洞。

其中修复版本已经于 2024 年 6 月 19 日发布，对应版本号为 7-Zip v24.07 版，之后版本包括截止至本文发布时的最新版即 7-Zip v24.08 版均不受此漏洞影响。

也就是说用户至少需要更新到 v24.07 版才能确保漏洞无法被利用，如果你使用的 7-Zip 仍然是旧版本请立即转到官网下载最新版进行覆盖安装升级。

特别注意：大多数常见的压缩管理器都集成了 7-Zip 的开源模块，这些压缩管理器也必须更新。

下载地址：https://www.7-zip.org/

漏洞描述：

该漏洞允许远程攻击者在受影响的 7-Zip 版本上执行任意代码，要利用此漏洞需要与库进行交互，但攻击媒介可能因实施情况存在差异。

漏洞位于 7-Zip Zstandard 解压缩的实现中，问题原因在于缺乏对用户提供的数据进行适当验证导致的，这可能会导致在写入内存之前出现整数下溢，攻击者可以利用此漏洞在当前进程中的上下文执行代码。

常见的利用场景：

攻击者可以制作特定的压缩文件并通过电子邮件或下载网站诱导用户下载并执行解压操作，当成功利用此漏洞后攻击者可能窃取系统数据甚至接管整个系统。注：该漏洞无法远程执行任意代码，其媒介至少要用户主动下载特制文件并执行解压操作。

漏洞信息：

漏洞编号：CVE-2024-11477

CVSS 评分：7.8/10 分

披露时间：2024 年 6 月 12 日通报给 7-Zip 开发者、6 月 19 日发布 v24.07 进行修复、10 月 20 日起协调公布咨询报告

漏洞发现者：趋势科技安全研究部门的 Nicholas Zubrisky