7-Zip sérülékenység
A 7-Zip egy széles körben használt, nyílt forráskódú tömörítő eszköz, amelyet gyakran alkalmaznak különböző fájlformátumok tömörítésére és kicsomagolására. Egy kritikus biztonsági sebezhetőséget (CVE-2024-11477) fedeztek fel a szoftverben, amely lehetővé teszi a támadók számára, hogy távoli kódfuttatást hajtsanak végre a felhasználó rendszerén.
A hiba a Zstandard (Zstd) tömörítési algoritmus kicsomagolási folyamatában található, ahol egy egész szám alulcsordulás (integer underflow) léphet fel. Ez memóriahibához vezethet, amelyet a támadók kihasználhatnak tetszőleges kód futtatására a felhasználó jogosultságaival. A sebezhetőség magas kockázatú, 7,8-as CVSS pontszámmal rendelkezik. A támadók speciálisan kialakított archív fájlokkal kihasználhatják a hibát, ha a felhasználó megnyitja ezeket a fájlokat a 7-Zip segítségével.
A sebezhetőség a 7-Zip 24.07 előtti verzióit érinti. A fejlesztők 2024. november 20-án kiadták a 24.07-es verziót, amely javítja ezt a hibát. Javasolják, hogy frissítsenek a 24.07-es vagy újabb verzióra a hivatalos weboldalról.