快科技11月28日报道称,|0@4299.com|
该漏洞主要在于Z标准解压的实现,这可能会因用户提供的数据验证不当而导致integer下溢,从而允许攻击者在当前流程的上下文中执行代码。
Z标准格式在Linux环境中特别常见,通常用于各种文件系统,包括Btrfs、SquashFS和OpenSYS。
攻击者可以通过诱导用户打开精心准备的恶意档案来利用此漏洞,这些档案可以通过电子邮件附件或共享文件分发。
攻击者可以利用它在受影响的系统上执行任意代码,获得与登录用户相同的访问权限,甚至可能实现完全的系统绕过。
然而,目前还没有针对该漏洞的已知恶意软件,|2@4299.com|
该漏洞于2024年6月首次由安全研究人员报告给7-Zip,并于11月20日公开披露。
