7-Zip悄悄修复了一个安全漏洞 其他基于7z的压缩软件也需更新

7-Zip悄悄修复了一个安全漏洞 其他基于7z的压缩软件也需更新 还有个漏洞是 CVE-2023-52169,该漏洞则是缓冲区过度读取问题,这与 Linux ntfs3 驱动程序中的内存泄露漏洞具有相同的机制。研究人员负责任的将漏洞信息通报给开发者 Igor Pavlov,然而在近期更新日志中开发者并未提到任何与之相关的修复信息,但经过分析 7-Zip 24.01 测试版确实已经完成修复。这些漏洞对本地用户来说实际上潜在影响比较小,例如攻击者可以使用单个进程处理多个不受信任的文档;然而如果在服务器上使用 7-Zip 就可能引起大问题,例如攻击者可以从远程服务器上窃取大量信息。如果开发者在服务器上部署了 7-Zip 用来执行在线解压或压缩包文件预览等,这种情况下都有可能被攻击者利用造成数据泄露,因此危害还是非常大的。此次安全问题最大的争议是开发者为什么没有在更新日志中提到该漏洞,也没有发布任何安全公告说明此事,要不是研究人员发布博客否则大家都不清楚还存在这个漏洞。实际上该漏洞最初的发现时间是 2023 年 8 月 18 日并在同日通报给开发者,到 2024 年 1 月 31 日 7-Zip v24.01 Beta 版进行修复,后续版本例如最新的 24.07 也已经修复该漏洞。既然已经修复漏洞好歹也应该发布安全公告,结果因为悄悄修复漏洞而不说明,现在 Igor Pavlov 的行为引起了一些开源社区成员的担忧,因为这可能增加漏洞的利用。开发者 Igor Pavlov 的说法是,如果发布安全公告透露该漏洞,这可能会增加发生攻击的风险。然而到 6 月 19 日安全研究人员发布博客时,漏洞通报已经 272 天、修复版本发布也已经有 106 天。显然开发者的这种说法不仅没有道理而且还是错误的,因为不发布公告可能不足以引起一些用户尤其是开发者的关注,这会导致修复版本更新率更慢,如果有黑客也发现了漏洞那么可以扩大攻击面。因此这种情况下将脑袋埋在沙子里显然是个不明智的做法,这让安全研究人员无法理解 (所以发布了漏洞细节),也让开源社区无法理解。 ... PC版: 手机版:

相关推荐

封面图片

7-Zip 发现一个提权漏洞

7-Zip 发现一个提权漏洞 开源压缩程序7-Zip中发现了一个安全漏洞。该漏洞可能导致攻击者被赋予更高的权利。 该漏洞被称为CVE-2022-29072。正如Deskmodder所写,该漏洞影响到7-Zip的构建,直到目前的21.07版本。攻击者可以选择操纵输入,从而获得更高权限。据说还有可能通过网络执行输入,从而利用这个漏洞。目前还不清楚是否已经存在漏洞并在实践中使用。… 通常,7-Zip的更新很快就会推出,它将消除这个错误并调整帮助文件。。 winfuture
封面图片

7-Zip 悄悄修复某个安全漏洞没有发布公告,其他基于7z的压缩软件也需更新
封面图片

#安全资讯:研究人员公布 Telegram 已经修复的高危安全漏洞,该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegr

#安全资讯:研究人员公布 Telegram 已经修复的高危安全漏洞,该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegram for Android 版 利用漏洞攻击者可以将恶意 APK 文件伪造成视频,Telegram 会自动下载并尝试调用此漏洞已在 7 月 11 日发布的 10.14.5 版中修复 4 月份时就有消息传出即时通讯应用 Telegram 桌面版存在高危安全漏洞,攻击者只需要向用户发送特制的媒体文件即可在无需用户交互的情况下完成感染,该漏洞依赖 Telegram 默认开启的自动下载媒体文件功能。 今天知名安全软件开发商 ESET 的研究人员披露 Telegram #另一个高危安全漏洞,#该漏洞至少在 6 月 6 日就被黑客发现并利用直到 7 月 11 日Telegram 在v10.14.5 版中才完成修复 该漏洞本质上与 Telegram 桌面版出现的漏洞类似,#都是利用 Telegram API 的一些缺陷将特制文件伪造为媒体这样就可以在 Telegram 自动下载。 在这里还是继续建议 Telegram 用户关闭自动媒体文件自动下载功能,避免攻击者利用类似的漏洞发起针对性的攻击
封面图片

Google Chrome v124.0.6367.201/.202版紧急更新 修复高危安全漏洞

Google Chrome v124.0.6367.201/.202版紧急更新 修复高危安全漏洞 基于安全性考虑通常新版本发布时谷歌不会立即透露漏洞的完整细节避免更多黑客利用漏洞展开攻击,待大多数用户已经更新到不受影响的版本时,谷歌才会逐渐向研究人员和公众披露漏洞细节。此次修复的这枚漏洞编号为 CVE-2024-4671,漏洞位于视觉组件中,属于 Use-after-free 类的安全漏洞,由匿名安全研究人员在 5 月 8 日报告给谷歌。如此快发布更新进行修复的原因在于,谷歌已经意识到已经有黑客在野外利用这类漏洞发起攻击,所以谷歌接到通报后就立即着手修复并发布新版本。需要提醒的是此漏洞影响 Chromium 浏览器 / 内核,因此接下来基于 Chromium 开发的浏览器包括但不限于 Microsoft Edge、Vivaldi、Opera、Brave 等浏览器也都需要发布新版本修复该漏洞。建议使用其他 Chromium 浏览器的用户也注意开发商发布的更新,如果有更新最好立即安装避免漏洞遭到利用影响安全性。注:124.0.6367.202 版适用于 Windows 和 Mac,124.0.6367.201 版适用于 Linux 系统。 ... PC版: 手机版:
封面图片

#苹果紧急推送 iOS 18.3.2,修复 WebKit 安全漏洞

#苹果紧急推送 iOS 18.3.2,修复 WebKit 安全漏洞 2025 年 3 月 12 日,苹果紧急发布 iOS 18.3.2 更新,修复 WebKit 组件中的 重大安全漏洞。该漏洞最早可追溯至 iOS 17.2,可能被恶意网页利用,以突破 网页内容沙箱,影响用户设备的安全。 适用于机型: • iPhone XS 及更新机型 • iPad Pro 13 英寸 • iPad Pro 12.9 英寸(第三代及更新机型)等 漏洞影响: 苹果表示,该漏洞可能已被用于针对 iOS 17.2 及更早版本的特定用户进行复杂攻击。攻击者可借助恶意网页 绕过系统保护机制,执行未经授权的操作。 修复措施: 此次更新 改进了检查机制,修复了越界写入问题,以防止未经授权的访问。苹果建议 #所有受支持设备的用户尽快更新,避免潜在安全风险。 #新闻 #曝光 #跑路 #东南亚 全网曝光@RJJJJ 聊天大群@DDDDA 灰产新闻@xinwenDD
封面图片

#安全资讯 研究人员公布 Telegram 已经修复的高危安全漏洞,该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegr

#安全资讯 研究人员公布 Telegram 已经修复的高危安全漏洞,该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegram for Android 版 利用漏洞攻击者可以将恶意 APK 文件伪造成视频,Telegram 会自动下载并尝试调用此漏洞已在 7 月 11 日发布的 10.14.5 版中修复 4 月份时就有消息传出即时通讯应用 Telegram 桌面版存在高危安全漏洞,攻击者只需要向用户发送特制的媒体文件即可在无需用户交互的情况下完成感染,该漏洞依赖 Telegram 默认开启的自动下载媒体文件功能。 今天知名安全软件开发商 ESET 的研究人员披露 Telegram #另一个高危安全漏洞,#该漏洞至少在 6 月 6 日就被黑客发现并利用直到 7 月 11 日Telegram 在v10.14.5 版中才完成修复 该漏洞本质上与 Telegram 桌面版出现的漏洞类似,#都是利用 Telegram API 的一些缺陷将特制文件伪造为媒体这样就可以在 Telegram 自动下载。 在这里还是继续建议 Telegram 用户关闭自动媒体文件自动下载功能,避免攻击者利用类似的漏洞发起针对性的攻击

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人