一、漏洞详情

7-Zip 是一款免费的开源文件压缩和解压工具，支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式。

近日，监测到7-Zip中修复了一个代码执行漏洞（CVE-2024-11477）。7-Zip Zstandard解压缩实现中存在漏洞，由于对用户提供的数据缺乏适当验证，可能导致在写入内存前发生整数下溢，攻击者可能通过构造包含特制数据或压缩内容的恶意文件并诱使目标用户解压，当目标用户使用受影响的7-Zip解压缩该文件时可能触发漏洞，从而可能导致在受影响的7-Zip安装上执行任意代码。由于共用了相关漏洞代码，Nanazip等解压软件也受到这一攻击面的威胁。

Linux下p7zip由于未使用7-zip版本的Zstandard解压算法，而是使用zstd，故不受此漏洞影响。

建议受影响用户做好资产自查以及预防工作，不解压来路不明的压缩包，以免遭受黑客攻击。

二、影响范围

24.01 <= 7-Zip < 24.07，24.01 <= 7zz（7-Zip官方命令行版程序）< 24.07

NanaZip 3.5 Preview 0 (3.5.1000.0)

NanaZip 3.0 Update 1 (3.0.1000.0)

NanaZip 3.5 Preview 0 (3.5.996.0)

NanaZip 3.0 (3.0.996.0)

三、修复建议

目前该漏洞已经修复，由于7-zip缺乏集成的更新机制，用户必须手动下载并安装最新版本以保护其系统。受影响用户可升级到以下版本：

7-Zip >= 24.07，官网地址：https://www.7-zip.org/

7zz请使用操作系统对应的包管理器进行更新。

Nanazip可通过微软商店联网自动更新至最新版。