压缩工具7-Zip中发现重大漏洞 已修复

近日，Zero Day Initiative（ZDI）团队发布了一篇博文，披露了压缩工具7-Zip中发现的重大漏洞。据公开资料显示，这个漏洞的编号为CVE-2024-11477，在Zstandard解压缩的实现过程中存在，并且在处理用户输入数据时缺少校验功能，可能导致整数下溢并被恶意利用。

攻击者需要诱导用户打开包含恶意内容的压缩文件才能利用该漏洞，目前尚未有证据表明这个漏洞已被黑客广泛使用。然而，CVSS评分为7.8，属于高危级别。

一旦发现了这个漏洞，在今年年初时，ZDI团队报告给了7-Zip团队，并且已经在7-Zip 24.07及后续版本中进行了修复工作。