近期，安全領(lǐng)域的知名團(tuán)隊(duì)Zero Day Initiative（ZDI）公布了一項(xiàng)重要安全發(fā)現(xiàn)，涉及廣泛使用的解壓縮工具7-Zip。據(jù)ZDI在11月20日發(fā)布的博客文章透露，他們?cè)?-Zip中檢測(cè)到了一個(gè)可能允許遠(yuǎn)程代碼執(zhí)行的嚴(yán)重安全漏洞。

這一漏洞的具體編號(hào)為CVE-2024-11477，其根源在于Zstandard解壓縮功能的實(shí)現(xiàn)中，存在一個(gè)對(duì)用戶輸入數(shù)據(jù)校驗(yàn)不足的缺陷。這種不足有可能觸發(fā)整數(shù)下溢問(wèn)題，進(jìn)而為攻擊者提供了可乘之機(jī)。盡管攻擊者需要誘使用戶打開經(jīng)過(guò)特殊設(shè)計(jì)的惡意壓縮文件才能利用這一漏洞，但其潛在威脅不容忽視。

值得注意的是，盡管目前沒(méi)有確鑿的證據(jù)表明該漏洞已被黑客廣泛利用，但它在通用漏洞評(píng)分系統(tǒng)（CVSS）中獲得了7.8的高分，這一評(píng)分明確將其歸類為高危漏洞。這意味著，一旦攻擊者掌握了利用該漏洞的方法，其可能造成的損害將是巨大的。

ZDI團(tuán)隊(duì)在今年的早些時(shí)候便發(fā)現(xiàn)了這一漏洞，并在經(jīng)過(guò)一系列驗(yàn)證后，于2024年6月向7-Zip團(tuán)隊(duì)進(jìn)行了報(bào)告。值得慶幸的是，7-Zip團(tuán)隊(duì)迅速響應(yīng)，并在其發(fā)布的24.07版本及后續(xù)版本中修復(fù)了這一問(wèn)題，從而有效遏制了潛在的安全風(fēng)險(xiǎn)。

此次事件再次提醒了廣大用戶和軟件開發(fā)者，信息安全不容忽視。無(wú)論是個(gè)人用戶還是企業(yè)機(jī)構(gòu)，都應(yīng)保持警惕，及時(shí)更新軟件補(bǔ)丁，以減少潛在的安全威脅。同時(shí)，開發(fā)者也應(yīng)加強(qiáng)對(duì)代碼的安全審計(jì)，確保產(chǎn)品在設(shè)計(jì)之初就具備足夠的安全防護(hù)能力。