流行的开源压缩管理器 7-Zip 在 24.01 测试版中修复了 CVE-2023-52168 和 CVE-2023-52169 漏洞，分别属于缓冲区溢出和缓冲区过度读取问题。这两个漏洞可能被攻击者利用，从远程服务器上窃取大量信息。然而，开发者 Igor Pavlov 并没有在更新日志中提到修复信息，也没有发布任何安全公告。这一行为引发了开源社区成员的担忧，因为不公开漏洞可能会增加漏洞的利用率。

🤔 **漏洞修复：** 7-Zip 在 24.01 测试版中修复了两个漏洞，分别是 CVE-2023-52168 和 CVE-2023-52169。CVE-2023-52168 属于缓冲区溢出问题，而 CVE-2023-52169 则是缓冲区过度读取问题，与 Linux ntfs3 驱动程序中的内存泄露漏洞机制相同。这两个漏洞都可能被攻击者利用，从远程服务器上窃取大量信息。

🤫 **开发者行为：** 尽管 7-Zip 已经修复了漏洞，但开发者 Igor Pavlov 并没有在更新日志中提到修复信息，也没有发布任何安全公告。这一行为引发了开源社区成员的担忧，因为不公开漏洞可能会增加漏洞的利用率。

🗣️ **争议焦点：** 开发者 Igor Pavlov 声称，发布安全公告会增加攻击发生的风险。然而，安全研究人员认为，不发布公告可能导致修复版本更新率更慢，反而会扩大攻击面。

❓ **安全问题：** 这次事件暴露了开源软件安全问题，开发者在修复漏洞后应该及时发布安全公告，让用户及时更新软件版本，降低安全风险。

💡 **安全建议：** 对于使用 7-Zip 的用户来说，建议及时更新到最新版本，并定期检查软件更新信息。

👨‍💻 **开源社区：** 开源社区应该加强对安全问题的关注，鼓励开发者及时发布安全公告，并提供安全漏洞修复建议。

🛡️ **安全意识：** 提高用户安全意识，定期更新软件版本，并及时关注软件安全公告，可以有效降低安全风险。

🌐 **网络安全：** 网络安全是一个复杂的议题，需要开发者、用户和安全研究人员共同努力，才能构建一个更加安全的网络环境。

据安全研究人员 @msuhanov 在 6 月 19 日发布的消息，流行的开源压缩管理器 7-Zip 在 24.01 测试版中修复了 CVE-2023-52168 漏洞，该漏洞属于缓冲区溢出问题。

还有个漏洞是 CVE-2023-52169，该漏洞则是缓冲区过度读取问题，这与 Linux ntfs3 驱动程序中的内存泄露漏洞具有相同的机制。

研究人员负责任的将漏洞信息通报给开发者 Igor Pavlov，然而在近期更新日志中开发者并未提到任何与之相关的修复信息，但经过分析 7-Zip 24.01 测试版确实已经完成修复。

这些漏洞对本地用户来说实际上潜在影响比较小，例如攻击者可以使用单个进程处理多个不受信任的文档；然而如果在服务器上使用 7-Zip 就可能引起大问题，例如攻击者可以从远程服务器上窃取大量信息。

如果开发者在服务器上部署了 7-Zip 用来执行在线解压或压缩包文件预览等，这种情况下都有可能被攻击者利用造成数据泄露，因此危害还是非常大的。

此次安全问题最大的争议是开发者为什么没有在更新日志中提到该漏洞，也没有发布任何安全公告说明此事，要不是研究人员发布博客否则大家都不清楚还存在这个漏洞。

实际上该漏洞最初的发现时间是 2023 年 8 月 18 日并在同日通报给开发者，到 2024 年 1 月 31 日 7-Zip v24.01 Beta 版进行修复，后续版本例如最新的 24.07 也已经修复该漏洞。

既然已经修复漏洞好歹也应该发布安全公告，结果因为悄悄修复漏洞而不说明，现在 Igor Pavlov 的行为引起了一些开源社区成员的担忧，因为这可能增加漏洞的利用。

开发者 Igor Pavlov 的说法是，如果发布安全公告透露该漏洞，这可能会增加发生攻击的风险。然而到 6 月 19 日安全研究人员发布博客时，漏洞通报已经 272 天、修复版本发布也已经有 106 天。

显然开发者的这种说法不仅没有道理而且还是错误的，因为不发布公告可能不足以引起一些用户尤其是开发者的关注，这会导致修复版本更新率更慢，如果有黑客也发现了漏洞那么可以扩大攻击面。

因此这种情况下将脑袋埋在沙子里显然是个不明智的做法，这让安全研究人员无法理解 (所以发布了漏洞细节)，也让开源社区无法理解。

感谢网友 颜黎明 投递的消息

---

限时活动推荐：开搜AI智能搜索免费无广告直达结果、全能播放器VidHub支持挂载网盘云播、阿里云服务器99元/年。